Linkerd 2.9发布:全面支持mTLS与ARM!


今天,我们兴奋地宣布作为迄今为止最强大的Linkerd版本,Linkerd 2.9已经正式推出!此版本将Linkerd的零配置双向TLS(mTLS)支持扩展到所有TCP连接当中,使得Linkerd在集群安装完成之后即可透明加密并验证集群中的全部TCP连接。2.9版本还增加了对ARM架构的支持,包括引入新的多核代理运行时以提高吞吐量,同时支持Kubernetes服务拓扑等。

此版本源自50多位贡献者的不懈努力,在这里感谢Abereham G Wodajie,Alexander Berger,Ali Ariff,Arthur Silva Sens,Chris Campbell,Daniel Lang,David Tyler,Desmond Ho,Dominik Münch,George Garces,Herrmann Hinz,Hu Shuai,Jeffrey N. Davis,Joakim Roubert,Josh Soref,Lutz Behnke,MaT1g3R,Marcus Vaal,Markus,Matei David,Matt Miller,Mayank Shah,Naseem,Nil,OlivierB,Olukayode Bankole,Paul Balogh,Rajat Jindal,Raphael Taylor-Davies,Simon Weald,Steve Gray,Suraj Deshmukh,Tharun Rajendran,Wei Lun,Zhou Hao,ZouYu,aimbot31,iohenkies,memory以及tbsoares的辛勤付出!

零信任、零配置、默认双向TLS

Linkerd曾在之前的多个版本中提供透明且默认启用的双向TLS,但此功能仅适用于HTTP流量。在2.9版本中,我们扩展了适用范围。如今,Linkerd将自动加密并验证网格端点之间的所有TCP连接,包括每24小时自动轮替的Pod证书,并将TLS身份自动绑定至Pod的Kubernetes服务账户。与以往一样,此次升级对应用程序100%透明,你无需修改任何代码,甚至无需做出任何调整。

这一自动mTLS机制也是帮助Kubernetes用户迈向零信任安全目标的重要一步。通过对Pod边界(Kubernetes中的最小执行单位)进行加密与身份验证,Linkerd以现代零信任形式提供传输加密。在后续其他版本中,我们将基于mTLS提供强大的身份与身份与机密加密保障,从策略及实施等多个角度进一步扩展这套以安全为核心诉求的功能集。

新的多核代理运行时

与Istio等其他服务网格相比,Linkerd的极高速度与极低内存占用量主要源自其使用的Rust“微代理”,即Linkerd2-proxy。这种速度上的优势使得Linkerd能够实现单核运行时,但单一核心的处理性能终究有限。在Linkerd 2.9当中,我们已经将代理升级为多核运行时,借此提高单一Pod的吞吐量与并发性。与Linkerd已经极为出色的原有性能相比,新版本在性能层面更上一层楼。在未来几周内,我们将陆续发布相关基准测试,帮助你了解Linkerd 2.9的性能升级效果。

ARM支持

Linkerd 2.9还响应用户们的呼吁,引入了对ARM的支持!无论你希望使用ARM计算架构降低成本(例如AWS Graviton),还是希望在Raspberry Pi集群上运行Linkerd,新版本都将为你实现。这里感谢GSoC学员Ali Ariff为此做出的贡献。

支持Kubernetes服务拓扑

Linkerd 2.9引入了对Kubernetes全新服务拓扑功能的支持!因此,你现在可以引入路由首选项,例如“请求应驻留在此节点中”或“请求应驻留在此区域中”。这一支持将显著提高性能并节约成本,在大型应用程序中表现尤为突出。非常感谢CommunityBridge参与者Matei David 对此项功能的贡献。

还有更多

Linkerd 2.9还迎来了大量其他改进、性能增强与错误修复,具体包括:
  • 新的“自带Prometheus”选项,用户可以借此跳过Linkerd的Prometheus集群,直接使用自己的Prometheus集群。
  • 新版本支持Kubernetes 1.19
  • 新版本支持经过身份验证的Docker注册表
  • 新版本支持入口层级上的负载均衡决策,例如会话粘性
  • 新版本为CLI提供fish shell
  • 新版本在仪表板中提供西班牙语翻译版本
  • 还有更多更多


关于新版本的完整细节,请参阅发行版说明

Linkerd的下一步发展

Linkerd的发展态势令人兴奋。目前,HP、H-E-B、微软、Clover Health、梅赛德斯-奔驰、普渡大学以及PriceKinetics等组织都开始采用Linkerd为其关键任务基础设施提供支持。我们才刚刚起步,在接下来的几个发行版中,我们将继续努力。目前,我们在Linkerd当中树立起两大价值支柱——安全性与简单性。后续版本也将继续从这两个方面出发进行完善。
  • 安全性:不少关注安全水平的用户告诉我们,Linkerd的零配置默认mTLS已经成为其Kubernetes工具库中实现零信任安全性的强大工具。在后续几个版本中,我们将进一步扩展Linkerd的这方面功能,特别是对身份验证与安全策略的实现。
  • 简单性:我们发现很多用户都接触过极为复杂、由清单驱动的Linkerd服务网格项目。在接下来的几个版本中,我们将改善控制平面的模块化水平以减少必要组件的数量,努力让Linkerd变得更小巧、更简单。


简而言之:服务网格不必复杂,安全实现也不必困难。Linkerd的未来将以这些信念为基础,我们也希望这一切与广大用户的实际需求相匹配。

马上体验

准备体验Linkerd了吗?现在,你可以通过运行以下命令下载Linkerd 2.9稳定版本:
curl https://run.linkerd.io/install | sh

如果你正在使用Helm,请参阅我们发布的在Helm中安装Linkerd的操作说明。要由原有版本升级至2.9,请参阅我们的Linkerd升级指南以了解如何使用Linkerd upgrade命令完成操作。

Linkerd向每一个人敞开怀抱

Linkerd是一个社区项目,由云原生计算基金会负责托管。Linkerd致力于建立开放治理体系。如果你有任何功能要求、问题或者建议,我们欢迎你随时加入我们快速发展的活跃社区!Linkerd托管在GitHub之上,我们也期待通过SlackTwitter以及邮件列表听到你的声音。快来加入吧!

原文链接:Announcing Linkerd 2.9: mTLS for all, ARM support, and more!

0 个评论

要回复文章请先登录注册