Istio 1.26 现已正式发布,这是一次在功能、可扩展性、安全性与平台适配性方面全面提升的重要更新。与此同时,Istio 1.23 也正式停止维护,不再接收安全漏洞与关键 Bug 修复,标志着这一主流版本的生命周期正式结束。
Istio 1.26 标志着 Ambient 模式从“实验性”走向更成熟阶段,也是 Istio 与 Kubernetes 深度集成的又一里程碑。作为云原生网络的核心基础设施,Istio 将持续推动面向服务的流量治理、安全与可观测性演进。
本次发布支持 Kubernetes 1.29 至 1.32(预计兼容 1.33),如计划升级至 1.26,可提前参考升级指南。
Istio 1.26 新特性速览
1. Gateway API 自动资源支持全面可配置
在 Istio 1.26 中,用户终于可以通过 ConfigMap 自定义由 Gateway API 自动生成的资源,例如 Service、Deployment、HorizontalPodAutoscaler 和 PodDisruptionBudget。这使得运维和网关部署策略更灵活,显著提升了生产可用性。
2. Ambient 模式下支持 TCPRoute
Ambient 模式下的 Waypoint 代理现在支持 Gateway API 的 TCPRoute,让 TCP 层流量的精细控制成为可能,进一步提升了 L4 层面的可观测与控制能力。
此外,Istio 还引入了 Gateway API v1.3 的实验性特性 BackendTLSPolicy与 BackendTrafficPolicy,为未来的重试、后端认证控制铺平道路。
3. 支持 Kubernetes 新特性 ClusterTrustBundle
Istio 1.26 增加了对 Kubernetes 实验性特性 ClusterTrustBundle 的支持,这是集群间信任管理的重要一步,未来有望替代传统 CA 机制。
4. istioctl 工具增强
-
istioctl analyze现在支持指定某个检查项,便于集成自动化检测。 - 增加
--tls-server-name支持,便于生成可用于特定网关域名的 kubeconfig。 - 多项 CLI 命令修复与增强,提升安装与调试体验。
5. 安装与平台适配改进
- 在 GKE 中自动配置
ResourceQuota与cniBinDir,提升兼容性。 istio-cni不再默认使用hostNetwork,降低端口冲突风险。- Helm Chart 中新增支持设置
loadBalancerClass、updateStrategy、ConfigMap等关键参数。
6. EnvoyFilter 和 Retry 策略增强
EnvoyFilter现可基于VirtualHost的域名进行匹配。- 支持配置重试的 backoff 间隔与 host predicate。
详细改动可参考官方完整变更日志。