Bienvenido a la comunidad semanal de Istio
¡Hola amigos de la comunidad Istio!
Me complace presentar el primer número del boletín semanal de la comunidad de Istio. Como miembro de la comunidad de Istio, cada semana les traeré los últimos desarrollos de Istio, debates interesantes de la comunidad, consejos profesionales y contenido importante de noticias sobre seguridad.
¡Feliz lectura y nos vemos en el próximo número!
actualizaciones de la comunidad
Cambie a las discusiones de GitHub para las preguntas y respuestas de la comunidad de Istio
El equipo de Istio anunció cambios importantes en la forma en que la comunidad interactúa y en las preguntas y respuestas. El foro actual discut.istio.io [1] se archivará antes del 20 de diciembre y el equipo se trasladará a Discusiones de GitHub [2] para futuras interacciones. La nueva plataforma está concebida como un centro para que los usuarios hagan preguntas e interactúen con la comunidad. Vale la pena señalar que las contribuciones en las discusiones de GitHub se considerarán contribuciones oficiales de Istio, lo que afectará la asignación de puestos de contribuyente directivo. Este es un llamado a los mantenedores, proveedores y usuarios finales para que participen activamente en estas discusiones.
Sugerencia de horario de oficina de Istio
La comunidad de Istio ha introducido una nueva iniciativa: "Horario de oficina de Istio". La propuesta tiene como objetivo establecer una reunión comunitaria periódica para compartir conocimientos técnicos y promover el crecimiento comunitario. Office Hours está diseñado para ayudar a los nuevos contribuyentes y proporcionar un foro para que los miembros actuales compartan ideas.
Consulte el documento de propuesta [3] para obtener información más detallada y ayudar a dar forma a esta iniciativa.
Lanzamiento de Kubernetes v1.29: cambio de iptables a nftables y su impacto en Istio
Kubernetes v1.29 [4], lanzado recientemente , introduce cambios significativos en su enfoque de creación de redes. Kubernetes ahora incluye nftables como una característica Alpha del backend kube-proxy, reemplazando a iptables. Este cambio se debe a un problema de rendimiento de larga data con iptables que empeora a medida que aumenta el tamaño del conjunto de reglas. El desarrollo de iptables en el kernel se ha ralentizado significativamente, la mayor parte de la actividad ha cesado y las nuevas funciones se han estancado.
¿Por qué elegir nftables?
• nftables resuelve las limitaciones de iptables y proporciona un mejor rendimiento.
• Las principales distribuciones como RedHat y Debian se están alejando de iptables. RedHat desaprobó iptables en RHEL 9 y Debian lo eliminó de los paquetes requeridos en Debian 11 (Bullseye).
Impacto en Istio
Actualmente, Istio depende de iptables para el secuestro de tráfico y es posible que desee considerar el uso de nftables para adaptarse a este cambio. Este cambio es consistente con la migración más amplia a nftables en el ecosistema Linux.
rol del administrador
• Para habilitar esta característica, los administradores deben usar la puerta de características NFTablesProxyMode y usar
-proxy-mode=nftablesla bandera al ejecutar kube-proxy.• Puede haber problemas de compatibilidad ya que los complementos CNI, las implementaciones de NetworkPolicy y otros componentes que actualmente dependen de iptables deberán actualizarse para adaptarse a nftables.
Este cambio en Kubernetes v1.29 es un paso de futuro, pero requiere una cuidadosa consideración y planificación para integrarse con sistemas como Istio. La comunidad de Istio debe prestar mucha atención a estos desarrollos y prepararse para los ajustes que puedan ser necesarios en futuras versiones de Istio para mantener la compatibilidad con Kubernetes.
Actualizaciones del proyecto
ISTIO-SECURITY-2023-005: Cambios en los permisos RBAC de Istio CNI
Vulnerabilidades de seguridad resueltas
El Consejo de Seguridad de Istio ha identificado y resuelto una vulnerabilidad de seguridad crítica relacionada con Istio CNI (Interfaz de red de contenedores). Este problema se detalla en ISTIO-SECURITY-2023-005 [5]istio-cni-repair-roleClusterRole e implica un posible abuso.
Riesgo de seguridad
Si el nodo se ve comprometido, se pueden explotar los privilegios de alto nivel existentes de Istio CNI. Tal abuso podría escalar una intrusión local a una vulnerabilidad de seguridad en todo el clúster.
las medidas tomadas
En respuesta a este descubrimiento, los permisos RBAC (control de acceso basado en roles) de Istio CNI se modificaron para mitigar este riesgo.
Para obtener información más detallada, visite el aviso de seguridad oficial Istio Security 2023-005 [6] .
Nueva versión menor lanzada
Istio lanza nuevas versiones menores para mejorar la seguridad y la funcionalidad:
• Esto es 1.18.6
• Esto es 1.19.5
• Este 1.20.1
Estas actualizaciones incluyen varias mejoras y correcciones, lo que refleja un compromiso continuo para mantener y mejorar la seguridad y el rendimiento de la malla de servicios de Istio.
Para obtener más detalles sobre estos lanzamientos, visite Istio Latest News [7] .
Discusiones de temas candentes
Discusión sobre cómo mover el modo de entorno a Beta en Istio 1.21
En una reunión reciente del grupo de trabajo conjunto, hubo una acalorada discusión sobre el paso del modo ambiental a beta en la próxima versión Istio 1.21 (Q124).
opiniones divergentes
• Posición del equipo en solitario: aboga por retrasar el lanzamiento de la versión 1.21 para garantizar que el modo ambiente alcance el estado Beta en esta versión.
• El punto de vista de todos los demás: se opone a retrasar el lanzamiento y enfatiza que el modo de entorno no está listo para el lanzamiento beta.
Perspectiva actual
El consenso favorece mantener el calendario de lanzamiento 1.21 en una versión Beta que no incluya el modo entorno. El punto principal es que el modo ambiente necesita mayor desarrollo y es poco probable que alcance el estado Beta en la versión 1.21.
La discusión refleja el compromiso continuo con la calidad y la preparación en el proceso de desarrollo de Istio. La decisión de no acelerar el modo ambiente en la versión beta enfatiza la dedicación de la comunidad para garantizar la estabilidad y confiabilidad en cada lanzamiento.
Consejos profesionales de Istio
Determine la dirección IP ascendente de la puerta de enlace de ingreso
Antes de tratar con la puerta de enlace de Ingress, especialmente para la descarga de TLS, es fundamental determinar la carga de trabajo de origen ascendente. En istio_requests_total el caso de source_workload una puerta de enlace de Ingress, es necesario identificar la verdadera carga de trabajo de origen. Una forma práctica es utilizar encabezados HTTP para este fin. XFF (X-Forwarded-For) es el enfoque estándar descrito en la documentación de Istio [8] , pero también es posible implementar soluciones personalizadas agregando encabezados a través de servicios virtuales.
Versión Envoy en distribución Istio
El equipo de Istio mantiene sus compilaciones de Envoy y determina de forma independiente las versiones de los parches. Este enfoque garantiza que las actualizaciones necesarias se obtengan más rápido sin tener que esperar el lanzamiento oficial de Envoy, lo que provoca que la versión de Envoy utilizada en Istio sea inconsistente con la última versión de Envoy. Se pueden encontrar más detalles en esta discusión de GitHub [9] .
Resumir
Mientras concluimos el Istio Community Weekly de esta semana, revisemos la información que compartimos. Vemos la energía y la innovación de la comunidad Istio, así como las últimas tendencias y debates relacionados con la tecnología de malla de servicios.
Esta semana, supimos que la comunidad de Istio recurrirá a GitHub Discussions como la principal plataforma de comunicación y preguntas y respuestas, lo que indica un futuro más abierto y colaborativo. Al mismo tiempo, la iniciativa "Istio Office Hours" ayudará a los miembros de la comunidad a compartir conocimientos y promover el crecimiento.
Desde el punto de vista técnico, los cambios en Kubernetes v1.29 tendrán un impacto en Istio y en todo el ecosistema, y debemos prestar mucha atención y adaptarnos a estos cambios. Además, aprendimos sobre los cambios en los permisos RBAC de Istio CNI, así como sobre las nuevas versiones menores de Istio diseñadas para mejorar la seguridad y el rendimiento.
Finalmente, analizamos en profundidad la cuestión de mover el modo de entorno a Beta en la versión Istio 1.21, así como consejos sobre cómo determinar la dirección IP ascendente de Ingress Gateway.
Como miembro de la comunidad de Istio, sus comentarios y participación son fundamentales. Sigamos compartiendo ideas, preguntas y comentarios en GitHub para dar forma juntos al futuro de Istio. De cara a la próxima semana, esperamos más actualizaciones interesantes e interacción comunitaria. ¡Estén atentos y hasta la próxima!
Link de referencia
[1] discusión.istio.io: https://discuss.istio.io/[2] Discusiones de GitHub: https://github.com/istio/istio/discussionsDocumento[3] de propuesta: https://docs.google.com/document/d/13voR8qZwG8lKI2_xtvYhN6msBHp0MAdvlDXMUqQGFEM / editar[4] Kubernetes v1.29: https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.29.md[5] ISTIO-SECURITY-2023-005: https://istio.io/latest/news/security /istio-security-2023-005/[6] Istio Security 2023-005: https://istio.io/latest/news/security/istio-security-2023-005/[7] Últimas noticias de Istio: https://istio.io/ Latest /noticias/[8] Documentación de Istio: https://istio.io/latest/docs/ops/configuration/traffic-management/network-topologies/[9] Discusiones de GitHub: https://github.com/istio/istio/discussions/48064# debatecomment -7794044