istio

Envoy 和 Istio 容易受到几个新发现的漏洞的攻击： CVE-2021-28683： Envoy 包含一个可远程利用的 NULL 指针取消引用，并在收到未知 TLS 警报代码时在 TLS 中崩溃。 CVE-2021-28682： Envoy 包含一个可远程利用的整数溢出，其中非常大的 grpc-timeout 值会导致意外的超时计算。 CVE-2021-29258： Envoy 包含一个可远程利用的漏洞，其中带有空元数据映射的 HTTP2 请求可能导致 Envoy 崩溃

Google 将 Istio 商标转让给开源组织 Open Usage Commons Istio 社区官方宣布，Google 已经将 Istio 的商标转让给 Open Usage Commons 组织。Istio 表示，从开源第一天开始，Istio 项目就一直相信由贡献者运行、保持开放、透明且所有人均可使用的重要性。本着这种精神，他们现在将把 Istio 商标的所有权转让给新的开源中立组织 Open Usage Commons

前几天介绍完了 istio 是什么，以及为什么我们要使用 istio ，今天就来正式进入实战的部分。 介绍完了，helm value 间的上下层关系，今天来跟大家分享，我实际规划团队所使用的 helm 结构。不过会因为一些商业机密问题，内容会有所转换，但会尽量呈现相近概念让大家了解

Choerodon 猪齿鱼 是一个全场景效能平台，是基于 Kubernetes，Istio，knative，Gitlab，Spring Cloud 来实现本地和云端环境的集成，实现企业多云/混合云应用环境的一致性。平台通过提供精益敏捷、持续交付、容器环境、微服务、DevOps 等能力来帮助组织团队来完成软件的生命周期管理，从而更快、更频繁地交付更稳定的软件。 公开课有什么？ 三天三节课，各大模块**研发工程师和产品经理**亲自讲解

里面spec.ports.name 这个字段在 istio 模式下是有意义的，之前我刚开始在练习部署时，就发现明明在原本模式都正常运作的服务，切换到 istio 模式下，发现原本要呼叫相应 api 的服务，通通都 request 不到，后来才发现，原来在 istio 模式下 name 是有意义的。 这个功能会发生在 istio 1.6之前的版本，如果采用默认的 mtls，它会定期的自动更新，更新当下，如果有长连线的行为的服务，会中断掉，这个对我们也困扰很久，大家可以对自己任一个服务下 1.6 之后的版本，他更新凭证不会造成连线中断。 但是如果原本是用 1.6 之前的版本，要注意 1.6 是一个很大的分歧点，istio 在 1.6 做了很大的更新，架构上差异极大，甚至安装方式也跟之前有差异，所以有需要升级的要注意这一点

利用 Kubernetes 可信任的 JWT 来更安全地为工作负载实例颁发证书。 该博客文章是在 Istio 1.2 的版本下编写的，因此其中某些内容现在可能已过时。 在 Istio 1.3 中，我们正在利用 Kubernetes 的改进功能来更安全地为工作负载实例颁发证书

由于堆栈耗尽而导致控制平面不能拒绝未经身份验证的服务攻击。 Istio 控制平面 istiod 容易受到请求处理错误的影响，允许恶意攻击者发送特制或超大消息，从而在 Kubernetes 验证或变异 webhook 服务公开时导致控制平面崩溃。此端点通过 TLS 端口 15017 提供服务，但不需要攻击者的任何身份验证

升级到 Istio 1.14.0 时需要考虑的重要变化。 当您从 Istio 1.13.x 升级到 Istio 1.14.0 时，您需要考虑此页面上所描述的变化。 这些说明详细介绍了有意地破坏与 Istio 1.14.0 的向后兼容性所带来的变化

该博客文章是在 Istio 1.4 的版本下编写的，因此其中某些内容现在可能已过时。 默认情况下 Istio 的 DNS 证书是由 Citadel 来管理的。Citadel 是一个功能强大的组件，不仅维护自己的私有签名密钥，而且充当证书颁发机构（CA）

即将发布的 Istio 1.10 生命周期结束公告。 根据 Istio 的扩展支持策略，像 1.10 这样的小版本在 N+2 小版本（在本例中为 1.12）之后的六周内得到支持。Istio 1.12 于 11 月 18日发布，对 1.10 的支持将于 2021 年 12 月 30 日结束