Linkerd 2.7 发布：支持外部 PKI、更好的 GitOps 工作流、简化的证书轮换

Linkerd 2.7 发布了，此版本以安全为主题，主要更新亮点包括增加了将 Linkerd 的交叉 TLS 基础与外部证书发行商（如 Vault、cert-manager）集成的支持，改进了 GipOps 工作流，并使其易于自动轮换 TLS 凭据；还改进了 dashboard 的性能，提高了 Helm 图表的可用性。

外部 PKI 支持

Linkerd 对外部 PKI 提供商的新支持为 Linkerd 带来了大量新功能。首先，这意味着可以使用 Vault 和 cert-manager 之类的项目来提供 Linkerd 用来签署 TLS 证书的凭据。对于 GitOps 来说，这意味着 Linkerd 清单现在可以不带密钥地生成，因此可以安全地检入到版本控制中。

同时这也意味着，无论它们来源于何处，现在都可以轻松自动轮换 Linkerd 的 mTLS 凭据，目前这一过程还都是手动的。

改进的 dashboard

dashboard 现在显示 CronJob 和 ReplicaSet 资源，并为它们附带了预先配置的 Grafana dashboard。目前已将在 v2.6 中引入的功能tap标头添加到 dashboard 中，可以防止 DNS 重绑定攻击。同时还解决了许多其它较小的问题。

其它

Linkerd 2.7 对 Helm 图表进行了一些重大改进，包括将 CNI 模板拆分为一个单独的图表，修复了多个问题，并总体上更新了该图表以遵循社区最佳实践。

此外此版本还提供了大量其它改进、性能增强和 bug 修复，包括：

• 支持无头服务（headless services）。
• 延迟代理关闭的新标志--wait-before-exit-seconds。
• 改进了 gRPC 服务的错误分类。
• linkerd check新增了一些功能，包括 CNI 插件状态和 TLS 证书验证。

发布公告：

https://linkerd.io/2020/02/10/announcing-linkerd-2.7