Linkerd stable-2.11.0 厚实版发布:授权战略、gRPC 重试、性能校正等!
授权战略
Linkerd 的新做事器授权战略(server authorization policy)功能使您不错细粒度截止允许哪些做事相互通讯。这些战略凯旋建立在 Linkerd 的自动 mTLS 功能提供的安全劳开赴份上。与 Linkerd 的计算原则保握一致,授权战略以可组合的 Kubernetes 原生方式抒发,这种方式只需最少的成就,就可抒发平方的步履。
https://linkerd.io/2.11/features/automatic-mtls为此,Linkerd 2.11 引入了一组默许授权战略,只需诞生 Kubernetes annotation 即可欺骗于 cluster、namespace 或 pod 级别,包括:
all-authenticated(只允许来自 mTLS-validated 做事的申请); all-unauthenticated(允许整个申请) deny(拒却整个申请) … 和更多。Linkerd 2.11 还引入了两个新的 CRD Server 和 ServerAuthorization,它们一齐允许在职意一组 pod 中欺骗细粒度的战略。举例,Server 不错选拔 namespace 中整个 pod 上的整个经管端口(admin ports),ServerAuthorization 不错允许来自 kubelet 的健康检查伙同,或用于见地汇集(metrics collection)的 mTLS 伙同。
这些 annotation 和 CRD 一齐使您不错松驰地为集群指定多样战略,从 “允许整个流量” 到 “做事 Foo 上的端口 8080 只可从使用 Bar 做事帐户的做事接收 mTLS 流量”,更多。(请参阅齐全的战略文档 ?)
https://linkerd.io/2.11/features/server-policy/
重试失败的申请是 Linkerd 擢升 Kubernetes 欺骗花样可靠性才气的关节部分。到咫尺为止,出于性能原因,Linkerd 只允许重试无正文申请,举例 HTTP GET。在 2.11 中,Linkerd 还不错重试带有 body 的失败申请,包括 gRPC 申请,最大 body 大小为 64KB。
容器启动排序处分法式Linkerd 2.11 咫尺默许确保 linkerd2-proxy 容器在 pod 中的任何其他容器启动化之前准备就绪。这是 Kubernetes 对容器启动法则缺少截止的一种处分法式,并处分了一大类辣手的竞争条目,即欺骗花样容器在代理准备就绪之前尝试伙同。
更小、更快、更轻像往日相同,Linkerd 2.11 链接让 Linkerd 成为 Kubernetes 最轻、最快的做事网格。2.11 中的计划变化包括:
截止平面(control plane)减少到独一 3 个部署。 由于高度活跃的 Rust 集聚生态系统,Linkerd 的数据平面(data plane) “微代理(micro-proxy)” 更小、更快。 SMI 功能大部分已从中枢截止平面中删除,并移至扩张中。 Linkerd 镜像咫尺使用最小的 “distroless” 基础镜像。 还有更多!Linkerd 2.11 还包含浩荡其他校正、性能增强和诞妄建造,包括:
Kubernetes 资源的新 CLI tab completion(大喊自动完成)。 咫尺不错在 Namespace 资源上诞生整个 config.linkerd.io annotations,它们将动作在该定名空间中创建的 pod 的默许值。 一个 linkerd check -o short 带有节略输出的新大喊。 Dashboard 中的新 扩张(Extensions) 页面 代理的无极测试(Fuzz testing)! https://linkerd.io/2021/05/07/fuzz-testing-for-linkerd/ 代理咫尺诞生信息性的 l5d-client-id 和 l5d-proxy-error header。 对 Helm 可成就性和 linkerd check 进行了浩荡校正。 使用 linkerd-multicluster 对 StatefulSets 的推行相沿 还有更多!计划醒目信息,请参阅齐全的刊行版阐发
https://github.com/linkerd/linkerd2/releases/tag/stable-2.11.0。