Istio 社区周报(第一期):2023.12.11 - 12.17

adc672ce300ff9dc6d3de55d4e594faf.gif

e054068f0f246dda6baad621469189d4.jpeg

欢迎来到 Istio 社区周报

Istio 社区朋友们,你们好!

我很高兴呈现第一期 Istio 社区周报。作为 Istio 社区的一员,每周我将为您带来 Istio 的最新发展、有见地的社区讨论、专业提示和重要安全新闻内容。

祝你阅读愉快,并在下一期中与您再见!

社区更新

切换到 GitHub Discussions 进行 Istio 社区问答

Istio 团队宣布了社区互动和问答方式的重大变化。当前的论坛 discuss.istio.io[1] 将于 12 月 20 日前归档,团队将转向 GitHub Discussions[2] 进行未来的互动。这个新平台被设想为用户提问和与社区互动的中心。值得注意的是,在 GitHub 讨论中的贡献将被视为官方的 Istio 贡献,影响着 steering contributor 席位的分配。这是对维护者、供应商和最终用户积极参与这些讨论的号召。

Istio Office Hours 提案

Istio 社区引入了一个新的倡议:"Istio Office Hours"。该提案旨在建立一个定期的社区会议,分享技术知识并促进社区增长。Office Hours 旨在帮助新的贡献者,并为当前成员提供分享见解的论坛。

请参阅提案文件[3]以获取更详细的信息,并参与塑造这个倡议。

Kubernetes v1.29 发布:从 iptables 切换到 nftables 及其对 Istio 的影响

最近发布的 Kubernetes v1.29[4] 引入了其网络方法的重大变化。Kubernetes 现在将 nftables 作为 kube-proxy 后端的 Alpha 特性,取代了 iptables。这一变化是由于 iptables 存在已久的性能问题,随着规则集大小的增加而恶化。内核中 iptables 的开发已经显著减缓,大部分活动已停止,新功能也已停滞不前。

为什么选择 nftables?

  • • nftables 解决了 iptables 的限制,并提供更好的性能。

  • • 像 RedHat 和 Debian 这样的主要发行版正在摆脱 iptables。RedHat 在 RHEL 9 中已弃用 iptables,而 Debian 在 Debian 11(Bullseye)中将其从必需的软件包中删除。

对 Istio 的影响

Istio 目前依赖 iptables 来进行流量劫持,可能需要考虑使用 nftables 来适应这一变化。这个变化与 Linux 生态系统中更广泛的向 nftables 迁移一致。

管理员的作用

  • • 要启用此功能,管理员必须使用 NFTablesProxyMode 特性门和运行 kube-proxy 时使用 -proxy-mode=nftables 标志。

  • • 可能会存在兼容性问题,因为目前依赖 iptables 的 CNI 插件、NetworkPolicy 实现和其他组件需要更新以适应 nftables。

Kubernetes v1.29 中的这一变化是一个前瞻性的步骤,但需要谨慎考虑和规划,以与像 Istio 这样的系统集成。Istio 社区需要密切关注这些发展,并为未来的 Istio 版本可能需要进行的调整做好准备,以保持与 Kubernetes 的兼容性。

项目更新

ISTIO-SECURITY-2023-005:Istio CNI RBAC 权限的更改

解决的安全漏洞

Istio 安全委员会已经确定并解决了与 Istio CNI(容器网络接口)有关的一个重大安全漏洞。这个问题在 ISTIO-SECURITY-2023-005[5] 中详细说明,涉及到 istio-cni-repair-roleClusterRole 的潜在滥用。

安全风险

如果节点被入侵,Istio CNI 的现有高级权限可能会被利用。这种滥用可能会将本地入侵升级为集群范围的安全漏洞。

采取的措施

针对这一发现,已对 Istio CNI 的 RBAC(基于角色的访问控制)权限进行了修改,以减轻这一风险。

有关更详细信息,请访问官方安全咨询 Istio Security 2023-005[6]

新的小版本发布

Istio 发布了新的小版本以增强安全性和功能性:

  • • Istio 1.18.6

  • • Istio 1.19.5

  • • Istio 1.20.1

这些更新包括各种改进和修复,反映了对维护和增强 Istio 服务网格安全性和性能的持续承诺。

有关这些发布的更多详细信息,请访问 Istio 最新消息[7]

热门话题讨论

关于 Istio 1.21 中环境模式转入 Beta 的讨论

在最近的联合工作组会议上,关于环境模式在即将发布的 Istio 1.21 版本(Q124)中转入 Beta 的讨论引发了激烈的讨论。

分歧的观点
  • • Solo 团队的立场:主张延迟 1.21 版本的发布,以确保环境模式在该版本中达到 Beta 状态。

  • • 其他所有人的观点:反对延迟版本发布,强调环境模式尚未准备好发布 Beta 版。

当前展望

共识倾向于在不包括环境模式的 Beta 版本中维持 1.21 版本的发布计划。主要观点是,环境模式需要进一步开发,不太可能在 1.21 版本中达到 Beta 状态。

讨论反映了 Istio 开发过程中对质量和准备性的持续承诺。不急于将环境模式推向 Beta 版本的决定强调了社区在每个发布中确保稳定性和可靠性的奉献精神。

Istio 专业提示

确定 Ingress Gateway 的上游 IP 地址

在处理 Ingress 网关之前,特别是对于 TLS 卸载,确定上游源工作负载是至关重要的。在 istio_requests_total 中,如果 source_workload 是一个 Ingress 网关,就需要识别真正的源工作负载。一个实用的方法是利用 HTTP 头来实现这一目的。XFF(X-Forwarded-For)是 Istio 文档[8]中概述的标准方法,但也可以通过虚拟服务添加头部来实现自定义解决方案。

Istio 发行版中的 Envoy 版本

Istio 团队维护他们的 Envoy 构建,独立决定补丁版本。这种方法确保更快地获得必要的更新,而不必等待官方的 Envoy 发布,因此导致了 Istio 中使用的 Envoy 版本与 Envoy 的最新版本不一致。更多详细信息可以在这个 GitHub 讨论[9] 中找到。

总结

当我们结束本周的 Istio Community Weekly,让我们回顾一下我们所分享的信息。我们看到了 Istio 社区的活力和创新,以及与服务网格技术相关的最新趋势和讨论。

本周,我们了解到 Istio 社区将转向 GitHub Discussions 作为主要的问答和交流平台,这标志着更加开放和协作的未来。同时,"Istio Office Hours" 倡议将帮助社区成员共享知识,促进成长。

在技术方面,Kubernetes v1.29 的变化将对 Istio 和整个生态系统产生影响,我们需要密切关注和适应这些变化。此外,我们还了解到 Istio CNI RBAC 权限的改变,以及新的 Istio 小版本发布,旨在提高安全性和性能。

最后,我们深入讨论了 Istio 1.21 版本中环境模式转入 Beta 的问题,以及如何确定 Ingress Gateway 的上游 IP 地址的技巧。

作为 Istio 社区的一员,您的反馈和参与至关重要。让我们继续在 GitHub 上分享见解、问题和意见,共同塑造 Istio 的未来。展望下周,我们期待更多精彩的更新和社区互动。敬请关注,下期再见!

引用链接

[1] discuss.istio.io: https://discuss.istio.io/
[2] GitHub Discussions: https://github.com/istio/istio/discussions
[3] 提案文件: https://docs.google.com/document/d/13voR8qZwG8lKI2_xtvYhN6msBHp0MAdvlDXMUqQGFEM/edit
[4] Kubernetes v1.29: https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.29.md
[5] ISTIO-SECURITY-2023-005: https://istio.io/latest/news/security/istio-security-2023-005/
[6] Istio Security 2023-005: https://istio.io/latest/news/security/istio-security-2023-005/
[7] Istio 最新消息: https://istio.io/latest/news/
[8] Istio 文档: https://istio.io/latest/docs/ops/configuration/traffic-management/network-topologies/
[9] GitHub 讨论: https://github.com/istio/istio/discussions/48064#discussioncomment-7794044

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/261525.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【RK3288 Android6 T8, 突然无声音问题排查】

【RK3288 Android6 T8, 突然无声音问题排查】 问题背景: T8 android6 6.0.10在测试过程中突然出现弹窗音量进度条,然后小铃铛图标被禁用,意为静音,退出app后,打开设置的音量设置,发现notification的音量被…

IEEE TASLP | 联合语音识别与口音识别的解耦交互多任务学习网络

尽管联合语音识别(ASR)和口音识别(AR)训练已被证明对处理多口音场景有效,但当前的多任务ASR-AR方法忽视了任务之间的粒度差异。细粒度单元(如音素、声韵母)可用于捕获与发音相关的口音特征&…

手写单链表(指针)(next域)附图

目录 创建文件: 具体实现: 首先是头插。 注意:一定要注意:再定义tmp时,要给它赋一个初始值(推荐使用 new list_next) 接着是尾插: 随后是中间插: 然后是最简单的改值&#xf…

人工智能边缘计算:连接智能的边界

导言 人工智能边缘计算是将智能计算推向数据源头的重要发展方向,本文将深入探讨边缘计算与人工智能的交融,以及在未来数字化社会中的前景。 1. 边缘计算的基础 分布式计算: 边缘计算通过将计算任务推送至数据产生的地方&#xff0c…

IspSrv-互联网访问检测器

2023年全国网络系统管理赛项真题 模块B-Windows解析 题目 为了模拟Internet访问测试,请搭建网卡互联网检测服务。使用ispsrv.chinaskills.global站点模拟互联网检测服务器配置检测文件内容为internet。允许互联网区域客户端访问AppSrv上的HTTP资源。答题步骤 可以在注册表中找…

轻量级web开发框架Flask本地部署及无公网ip远程访问界面

文章目录 前言1. 安装部署Flask2. 安装Cpolar内网穿透3. 配置Flask的web界面公网访问地址4. 公网远程访问Flask的web界面 前言 本篇文章讲解如何在本地安装Flask,以及如何将其web界面发布到公网上并进行远程访问。 Flask是目前十分流行的web框架,采用P…

阿里云经济型、通用算力型、计算型、通用型、内存型云服务器最新活动报价

阿里云作为国内领先的云计算服务提供商,提供了多种规格的云服务器供用户选择。为了满足不同用户的需求,阿里云推出了经济型、通用算力型、计算型、通用型和内存型等不同类型的云服务器。下面将详细介绍这些云服务器的最新活动报价。 一、阿里云特惠云服…

Apache Pulsar 技术系列 - PulsarClient 实现解析

导语 Apache Pulsar 是一个多租户、高性能的服务间消息传输解决方案,支持多租户、低延时、读写分离、跨地域复制(GEO replication)、快速扩容、灵活容错等特性。同时为了达到高性能,低延时、高可用,Pulsar 在客户端也…

STM32F4的DHT11初始化与实例分析

STM32—— DHT11 本文主要涉及STM32F4 的DHT11的使用以及相关时序的介绍,最后有工程下载地址。 文章目录 STM32—— DHT11一、 DHT11的介绍1.1 DHT11的经典电路 二、DHT11的通信2.1 DHT11的传输数据格式2.2 DHT11 通信分步解析 三、 DHT11 代码3.1 引脚图3.2 电路图…

Springboot数据加密篇

一、密码加密 1.1Hash算法(MD5/SHA-512等) 哈希算法,又称摘要算法(Digest),是一种将任意长度的输入通过散列函数变换成固定长度的输出的单向密码体制。这种映射的规则就是哈希算法,而通过原始数据映射之后得到的二进制…

PMP项目管理 - 整合管理

系列文章目录 系统架构设计 PMP项目管理 - 质量管理 PMP项目管理 - 采购管理 PMP项目管理 - 资源管理 PMP项目管理 - 风险管理 PMP项目管理 - 沟通管理 现在的一切都是为将来的梦想编织翅膀,让梦想在现实中展翅高飞。 Now everything is for the future of dream…

Amazon Toolkit — CodeWhisperer 使用

tFragment--> 官网:https://aws.amazon.com/cn/codewhisperer/?trkcndc-detail 最近学习了亚马逊云科技的 代码工具,感慨颇多。下面是安装 和使用的分享。 CodeWhisperer,亚马逊推出的实时 AI 编程助手,是一项基于机器学习…

C语言struct,union内存对齐

测试环境&#xff1a; #include<stdio.h> int main(){//1字节对齐struct XXX{unsigned char ch;unsigned int in;unsigned short si;}__attribute__((packed));struct XXX xxx;printf("%zd\n",sizeof(xxx));//7#pragma pack(1)struct YYY{unsigned char ch;u…

文心一言 VS 讯飞星火 VS chatgpt (161)-- 算法导论13.1 1题

一、用go语言&#xff0c;按照图 13-1(a)的方式&#xff0c;画出在关键字集合(1&#xff0c;2&#xff0c;…&#xff0c;15)上高度为 3 的完全二叉搜索树。以三种不同方式向图中加入 NIL 叶结点并对各结点着色&#xff0c;使所得的红黑树的黑高分别为2、3和4。 文心一言&…

Eigen库之Quaterniond

Eigen::Quaterniond 是 Eigen C++ 库中用于表示四元数的类,四元数在计算机图形学、机器人学等领域中广泛用于表示旋转操作。 四元数是一种数学结构,通常用于表示和计算三维空间中的旋转。一个四元数由一个实部和三个虚部组成,可以写成如下形式: 主要性质和运算: 以下是如何…

R语言【cli】——cli_warn可以更便捷的在控制台输出警告信息

Package cli version 3.6.2 cli_warn(message, ..., .envir parent.frame()) 参数【message】&#xff1a;它是通过调用 cli_bullets() 进行格式化的。进一步地&#xff0c;还需要调用 inline-makeup&#xff08;内联标记&#xff09;。 参数【...】&#xff1a;传递给 rlan…

Lamda表达式和匿名内部类

文章目录 前言一、匿名内部类是什么&#xff1f;1.实现接口和抽象类(普通类也可以&#xff09;2.可实现接口或继承抽象类&#xff1a;3. 访问外部变量&#xff1a; 二、Lambda表达式1.语法三.区别&#xff1a; 总结 前言 匿名内部类和抽象类总是往&#xff0c;现在来写一篇文章…

如何用DevEcoStudio创建本地模拟器

第一步&#xff1a;打开devEcoStudio 工具 第二步&#xff1a;点击IDE 右上角previewer - Device Manager 第三步&#xff1a;选择Local Emulator 的tab &#xff0c;如果要创建的设备类型为Phone 选中即可 第四步&#xff1a;点击界面的右下角 New Emulator 第五步&#xff…

ansible的脚本---playbook剧本

ansible的脚本---playbook剧本 playbook组成部分 1、tasks任务&#xff1a;包含要在目标主机上执行的操作&#xff0c;使用模块定义这些操作&#xff0c;每个任务都是一个模块的调用 2、varlables变量&#xff1a;存储和传递数据&#xff0c;变量可以自定义&#xff0c;可以…

Android 大版本升级变更截图方法总结

Android 大版本升级变更截图方法总结 一、Android R (11) 平台二、Android S (12) 平台三、Android U (14) 平台 Android 原生的截屏功能是集成在 SystemUI 中&#xff0c;因此我们普通应用想要获取截图方法&#xff0c;就需要研读下 SystemUI 截屏部分的功能实现。 一、Androi…