Linkerd 2.7 发布:支持外部 PKI、更好的 GitOps 工作流、简化的证书轮换
Linkerd 2.7 发布了,此版本以安全为主题,主要更新亮点包括增加了将 Linkerd 的交叉 TLS 基础与外部证书发行商(如 Vault、cert-manager)集成的支持,改进了 GipOps 工作流,并使其易于自动轮换 TLS 凭据;还改进了 dashboard 的性能,提高了 Helm 图表的可用性。
外部 PKI 支持
Linkerd 对外部 PKI 提供商的新支持为 Linkerd 带来了大量新功能。首先,这意味着可以使用 Vault 和 cert-manager 之类的项目来提供 Linkerd 用来签署 TLS 证书的凭据。对于 GitOps 来说,这意味着 Linkerd 清单现在可以不带密钥地生成,因此可以安全地检入到版本控制中。
同时这也意味着,无论它们来源于何处,现在都可以轻松自动轮换 Linkerd 的 mTLS 凭据,目前这一过程还都是手动的。
改进的 dashboard
dashboard 现在显示 CronJob 和 ReplicaSet 资源,并为它们附带了预先配置的 Grafana dashboard。目前已将在 v2.6 中引入的功能tap标头添加到 dashboard 中,可以防止 DNS 重绑定攻击。同时还解决了许多其它较小的问题。
其它
Linkerd 2.7 对 Helm 图表进行了一些重大改进,包括将 CNI 模板拆分为一个单独的图表,修复了多个问题,并总体上更新了该图表以遵循社区最佳实践。
此外此版本还提供了大量其它改进、性能增强和 bug 修复,包括:
- 支持无头服务(headless services)。
- 延迟代理关闭的新标志
--wait-before-exit-seconds。 - 改进了 gRPC 服务的错误分类。
linkerd check新增了一些功能,包括 CNI 插件状态和 TLS 证书验证。
发布公告:
