HashiCorp Consul 1.2 发布了,此版本最大亮点在于新增了一项称为 Connect 的主要功能。
Connect
Connect 可自动将任何现有的 Consul 群集转换为 Service Mesh 解决方案。Connect 通过自动 TLS 加密和基于身份的认证实现安全的服务到服务通信。
Consul 目前部署在全球数百万台机器上,升级到 Consul 1.2 并启用 Connect 后,任何现有群集都将立即成为适用于任何平台的服务网格解决方案:物理机、云、容器、调度程序等。
Connect 建立在易于使用的基础上,可以使用一个配置选项启用它,只需向服务注册添加一行额外的代码,就会自动使任何现有应用程序接受基于 Connect 的连接。证书轮换是自动的,不会导致停机。对于所有必要的子系统,Connect只 需要一个二进制文件。
除了易用,Connect 还为 Consul 暴露出许多新功能:
Encrypted Traffic 加密流量:所有流量均通过 TLS 与 Connect 建立连接。
Connection Authorization 连接认证:通过 intentions 创建服务访问图来允许或拒绝服务访问。使用服务的逻辑名称进行控制,这意味着规则独立于服务器的规模,不管有一个 Web 服务器还是 100 个,都无关紧要。 intentions 可以使用 UI、CLI、API 或 HashiCorp Terraform 进行配置。
Proxy Sidecars 代理边车:应用程序可以使用轻量级代理 sidecar 进程来自动建立进出 TLS 连接,就是该功能使现有的应用程序无需修改即可使用 Connect。
Certificate Management 证书管理:Consul 使用证书颁发机构(CA)提供程序生成和分发证书。Consul 附带内置 CA 系统,不需要外部依赖,与 HashiCorp Vault 集成,还可以进行扩展,支持其它 PKI 系统。
SPIFFE-based Identities 基于 SPIFFE 的身份识别:Consul 使用 SPIFFE 规范来进行服务标识,这使 Connect 服务能够建立并接受与其它 SPIFFE 兼容系统的连接。
Network and Cloud Independent 独立网络与云:Connect 使用 TCP/IP 上的标准 TLS。只要底层操作系统可以访问由目标服务通告的 IP,就可以使 Connect 工作在任何网络配置上。
此外还有其它相关信息,详情查看发布公告。