服务网格 Istio 1.11 发布：重新设计了网关管理，支持 Kubernetes 多集群服务

8 月 12 日，服务网格 Istio 背后的团队发布了该项目的 1.11 版本，该版本包含网关注入，以及 Kubernetes 多集群服务的实验性实现。

Istio 提供了网关作为与外部世界连接的方式。新版本在项目中引入了网关注入，可以让管理员更轻松地管理和升级网关。更新后，可以通过与 sidecar 代理相同的方法进行管理，因此全局代理配置也将应用于网关，这有助于减少组件之间的漂移。

Kubernetes 项目正在建立一个多集群服务 API，允许服务所有者或网格管理员决定是否导出整个网格的服务及其端点。如果通过 ENABLE_MCS_SERVICE_DISCOVERY 标志启用了新功能，则默认情况下只能从同一集群中发现服务端点。针对在不同集群内的端点，如果需要在整个网格中访问它们，则需要首先导出端点。

除此之外，自上次发布以来，Istio 团队对 CNI 插件进行了大量测试和文档工作。默认情况下，Istio 会在部署在网格的 pod 中注入一个 init 容器。istio-init 容器使用 iptables 设置 pod 网络流量重定向到（来自）Istio sidecar 代理。这需要部署 pod 的用户或服务账户有足够高的权限来部署具有 NET_ADMIN 和 NET_RAW 功能的容器。但拥有较高的 Kubernetes 权限，对于组织内的安全合规性来说是有问题的。

所以 beta 版的 CNI 插件是 istio-init 容器的替代品，它执行相同的网络功能，但不要求 Istio 用户启用更高的 Kubernetes 权限。

Istio 的命令行工具 istioctl 现在包括了诸如 istioctl 命名空间、Kubernetes pod 和服务的自动完成等功能。 –dry-run ，卸载时使用该试运行命令，可以在为时已晚之前更好地了解将要删除的内容。新的 –workloadIP 可以帮助设置工作负载 IP sidecar 代理，用于自动注册工作负载。

有经验的 Istio 用户将不得不稍微改变他们的工作流程，以便在具有外部控制平面的远程集群上安装网格。由于 istiodRemote 组件最近配备了任何集群所需的所有图表，用户可以通过新的 values.global.configCluster 变量启用配置集群所需的资源。

具体的说明文档可以在 Istio 网站上找到。该项目由 Google、IBM 和 Lyft 团队联合创建，于 2017 年发布第一个版本。去年 7 月，Istio 社区官方博客发文称，决定将 Istio 项目商标的所有权转让给 Open Usage Commons 组织，而不是将其纳入 CNCF。Open Usage Commons 是谷歌不久前宣布成立的一个组织，专注于以符合开放源码定义的方式提供开源项目商标的管理和指导。目前谷歌已经将三个项目的商标转让给了 OUC，分别是移动端的 Angular Web 应用框架、Gerrit 代码审查工具和 Istio 服务网格。

延伸阅读：

https://cloudnative.to/blog/istio-111-release/

https://www.infoq.cn/article/NAB71Cb7vwqeYOOAluNS