istio 1.8发布

我们将继续按照2020年发布的路线图中概述的方向航行，提高可用性，安全性和可靠性，并专注于多集群网格和VM工作负载。我们已经在必要时引入了新功能来实现这些目标，但总的来说，我们一直专注于错误修复和完善-我们将一直持续到2021年。

以下是此版本的一些要点：

安装和升级Istio

为了将关于如何将网格部署和升级到软件中的所有知识汇总起来，我们构建了IstioOperator API和两种不同的安装方法-istioctl install和Istio operator。但是，我们的某些用户具有基于Helm的其他软件的部署工作流，因此在此版本中，我们增加了对将Istio与Helm 3一起安装的支持。在安装1.8或更高版本之后包括就地升级和新控制平面的金丝雀部署。目前，Helm 3支持是Alpha，因此请尝试一下并提供您的反馈。

鉴于Istio现在支持的几种安装方法，我们添加了应该使用的Istio安装方法？FAQ页面可帮助用户了解哪种方法最适合他们的特定用例。

Vendors现在可以提供优化的配置文件，以在其平台上安装Istio。因此，在OpenShift上安装Istio更容易！

多集群

如果您非常重视可靠性，则可以运行多个Kubernetes集群。在多个集群之间建立网格通常需要大量的手工工作，并且您在选择运行方式方面有很多选择。

在此发行版中，我们编写了新的安装指南，该指南使安装跨多个集群的网格变得容易，其选项取决于集群是否在同一网络上以及是否需要多个控制平面。

轻松的将VM添加到网格

在1.7中对VM Mesh端点进行了许多安全性改进之后，我们将重点放在1.8的可用性上。我们简化了安装过程，您现在可以使用istioctl它来进行安装。新的智能DNS代理功能使您可以从VM解析网格服务，而不必将它们安全地指向集群DNS服务器。它还减少了集群DNS流量，并减少了解析服务IP所需的查找次数。通过自动注册，您可以告诉VM Agent具有什么样的工作负载，并在加入网格时自动为其创建WorkloadEntry对象。

安全与secrets

证书现在从Istiod发送到网关，而不是直接从Kubernetes读取。这减少了通常公开暴露的网关特权，从而改善了我们的纵深防御安全态势。此外，这为提高性能和减少内存占用以及证书源的其他可扩展性打开了大门。

Istio附带了一个现成的证书颁发机构，但是许多用户希望连接到现有的CA。当前，您必须实现Istio CSR API并自己编写第三方集成。在Istio 1.8中，我们引入了一种利用Kubernetes CSR API的方法，该方法可以与可以使用该API的任何工具集成。Istiod充当注册机构（RA）的角色，以对工作负载进行身份验证和授权，然后创建，批准和监视CSR资源的更新。然后，第三方工具（例如cert-manager）可以应用正确的签名者来创建具有适当后端CA的签名证书。此功能目前处于试验阶段。

便于使用

每次发行时，我们的用户体验工作组都使Istio的使用更加简便。

发生问题时，我们希望尽可能轻松地帮助您解决问题。在此版本中，我们引入了istioctl bug-report，它收集调试信息和集群状态，以使开发人员或供应商支持团队更容易理解。

istioctl analyze现在可以显示对象未正确验证的位置以及集群错误。如果出现错误，它将立即返回错误的确切行号。

您现在可以间接引用pod。不需要istioctl dashboard envoy $(kubectl get pods -l app=productpage -o jsonpath="{.items[0].metadata.name}")-现在只需要istioctl dashboard envoy deployment/productpage。

弃用

Istio一直在与Mixer组件说再见，该组件现已从1.8中删除。如果您仍然依赖任何Mixer功能，请确保检查升级说明。您仍然可以从1.7开始使用Mixer-但您确实应该参加WebAssembly培训！

在过去的两个版本中，我们更改了打包集成插件的方式（例如Prometheus，Zipkin，Jaeger和Kiali）。我们的捆绑版本不如上游作者提供的版本强大，因此我们转向提供上游manifests，而不是直接包括它们。使用Istioctl安装插件的支持在1.7中已弃用，在1.8中已删除。

总结

istio 1.8主要是为了增加vm集成的简易程度，集成在pilot-agent中的DNS代理除了服务于VM之外，对于任何网格外部服务都是很有意义的，能够方便简单的集成到网格内部而不需要在我们的基础DNS上手动添加domain,完整的实现了网格内部的服务自制。