授权政策
Linkerd 的新职业器授权政策(server authorization policy)功能使您不错细粒度畛域允许哪些职业相互通讯。这些政策径直建立在 Linkerd 的自动 mTLS 功能提供的安全劳上路份上。与 Linkerd 的打算原则保捏一致,授权政策以可组合的 Kubernetes 原生神气抒发,这种神气只需最少的设置,就可抒发无为的行径。
https://linkerd.io/2.11/features/automatic-mtls为此,Linkerd 2.11 引入了一组默许授权政策,只需缔造 Kubernetes annotation 即可期骗于 cluster、namespace 或 pod 级别,包括:
all-authenticated(只允许来自 mTLS-validated 职业的央求); all-unauthenticated(允许通盘央求) deny(休止通盘央求) … 和更多。Linkerd 2.11 还引入了两个新的 CRD Server 和 ServerAuthorization,它们一皆允许在职意一组 pod 中期骗细粒度的政策。举例,Server 不错聘请 namespace 中通盘 pod 上的通盘管制端口(admin ports),ServerAuthorization 不错允许来自 kubelet 的健康搜检接续,或用于倡导采集(metrics collection)的 mTLS 接续。
这些 annotation 和 CRD 一皆使您不错平缓地为集群指定多样政策,从 “允许通盘流量” 到 “职业 Foo 上的端口 8080 只可从使用 Bar 职业帐户的职业经受 mTLS 流量”,更多。(请参阅好意思满的政策文档 ?)
https://linkerd.io/2.11/features/server-policy/
重试失败的央求是 Linkerd 提升 Kubernetes 期骗步调可靠性能力的要津部分。到目下为止,出于性能原因,Linkerd 只允许重试无正文央求,举例 HTTP GET。在 2.11 中,Linkerd 还不错重试带有 body 的失败央求,包括 gRPC 央求,最大 body 大小为 64KB。
容器启动排序管制步调Linkerd 2.11 目下默许确保 linkerd2-proxy 容器在 pod 中的任何其他容器运回荡之前准备就绪。这是 Kubernetes 对容器启动法例穷乏畛域的一种管制步调,并管制了一大类难办的竞争要求,即期骗步调容器在代理准备就绪之前尝试接续。
更小、更快、更轻像闲居相同,Linkerd 2.11 络续让 Linkerd 成为 Kubernetes 最轻、最快的职业网格。2.11 中的关系变化包括:
畛域平面(control plane)减少到只消 3 个部署。 由于高度活跃的 Rust 汇注生态系统,Linkerd 的数据平面(data plane) “微代理(micro-proxy)” 更小、更快。 SMI 功能大部分已从中枢畛域平面中删除,并移至膨胀中。 Linkerd 镜像目下使用最小的 “distroless” 基础镜像。 还有更多!Linkerd 2.11 还包含大量其他立异、性能增强和空幻成立,包括:
Kubernetes 资源的新 CLI tab completion(呐喊自动完成)。 目下不错在 Namespace 资源上缔造通盘 config.linkerd.io annotations,它们将动作在该定名空间中创建的 pod 的默许值。 一个 linkerd check -o short 带有粗疏输出的新呐喊。 Dashboard 中的新 膨胀(Extensions) 页面 代理的疲塌测试(Fuzz testing)! https://linkerd.io/2021/05/07/fuzz-testing-for-linkerd/ 代理目下缔造信息性的 l5d-client-id 和 l5d-proxy-error header。 对 Helm 可设置性和 linkerd check 进行了大量立异。 使用 linkerd-multicluster 对 StatefulSets 的现实复古 还有更多!关联忽闪信息,请参阅好意思满的刊行版阐明
https://github.com/linkerd/linkerd2/releases/tag/stable-2.11.0。