全方位解讀 | Istio v1.1正式發布

北京時間2019年3月20日，Istio v1.1版本發布。在Istio繼續1.0版本之后，先后發布了6個補丁來擴充和完善相關功能。經過8個月的努力，不計其數的測試迭代，1.1版本終于和大家見面，引起廣泛討論。

在對Istio 1.1進行全方位解讀之前，我們先來回顧一下Istio的設計初衷。Istio設計之初期望于能夠簡化應用的開發及部署方式，把應用上線所需的外圍支撐系統與業務應用相分離，從而減輕開發團隊的壓力，提升開發效率。同時Istio基于網絡代理的實現方案，為業務運行時的流量控制、安全策略以及運行態實時監測提供了強大的支持功能。而這些功能一定程度上等價于給業務系統減負，使得服務能夠更快更方便地構建、遷移和發布。

Istio 1.1官宣新主題在于enterprise-ready（企業應用水準）。從官方文檔給出的Release Notes分析，1.1版本基于Istio 之前版本被詬病的性能問題做了重點優化，同時針對隔離性、安全性、多集群和可擴展性做了進一步加強，以滿足用戶對于多場景的支持。

Istio最新架構如圖所示：

性能優化

Istio 1.1帶來的最顯著的性能變化在于提升了數據平面和控制平面的執行效率。根據官方測試數據顯示（在本地環境有待進一步驗證），新發布的istio-proxy（sidecar）僅需要半個vCPU的資源就可以支撐1000 RPS，同時單個Pilot實例僅僅需要1.5個vCPU與2 GB RAM就可以支持1000個應用（2000個pod）。Istio-proxy在半數情況下僅增加5ms延遲，在99%的情況下增加10ms延遲。從而初步解決Pilot資源過度消耗以及istio-proxy延遲大的劣勢。

隔離性

Istio 1.1 提供新類型的sidecar資源，允許用戶基于namespace增加sidecar對象對邊界強制控制，以達到減輕proxy計算負擔的效果。同時增加exportTo字段，用來指定網絡資源在namespace中的生效范圍。

安全性

Istio 1.1在安全性方面同樣有了很大的提升，主要包括更新serviceEntity資源，使得HTTPS的服務不在需要額外的VirtualService來開啟SNI路由；在啟動雙向TLS的場景下，支持Readiness，Liveness健康檢查策略；更新集群RBAC的權限配置，使用ClusterRbacConfig對象替代原來的RbacConfig，以擴展集群范圍的RBAC的權限控制；集成Vault PKI，動態加載和替換外部證書，TCP服務授權，插件憑證保護以及SDS身份認證等方式。大范圍增加了Isito的安全特性。

多集群

Istio 1.1 改進流量控制和策略的默認配置，引入Galley新組件，用來驗證YAML文件的規范性，合法性，以降低配置錯誤的幾率。同時Galley可以在集群中發揮強大的作用，用來從多個kubernetes集群中收集服務發現信息。同時支持在無需扁平網絡的前提下實現單一控制平面與多個同步控制平面。

部署安裝

Istio 1.1修改Helm chart，關閉Egressgateway，默認關閉Mixer Policy以及允許所有的出口流量，同時允許自定義CRD與istio chart分離，提供數據延續性。

Istio 1.1還提供了其他方面的更新，例如鏈路跟蹤優化，外部Adapter等。

新版本具體更新文檔地址： https://istio.io/docs/

新版本Release代碼下載地址：https://github.com/istio/istio