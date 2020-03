Das Service-Mesh Istio liegt ab sofort in Version 1.5 vor. In dem Bemühen, das Arbeiten mit dem Service-Mesh für Anwender simpler zu gestalten, hat das Istio-Team beim neuen Major Release offenbar ein paar wesentliche Fortschritte gemacht.

Vor allem Istiod, das als einzelnes Binary nun die komplette Steuerungsebene enthält, soll Administratoren das Installieren, Upgraden und den Einsatz des Service-Mesh nachhaltig vereinfachen. Für Nutzer ändert sich durch Istiod hingegen nichts, APIs und Runtime-Charakteristika bleiben wie von früheren Versionen gewohnt.

Zentrales Werkzeug auf der Kommandozeile

Eine Reihe von Verbesserungen in Istio 1.5 betreffen istioctl . Es gilt jetzt als zentrales Werkzeug, mit dem sich sowohl der Zustand eines laufenden Istio-Systems überwachen als auch Konfigurationsänderungen sicher abwickeln lassen. Dazu lassen sich mit istioctl mehr Elemente analysieren, bessere Validierungsregeln nutzen und leichter in vorhandene CI-Systeme integrieren. Dazu hat istioctl analyze die Experimentierphase offiziell abgeschlossen.

Die Installation von Istio via Kommandozeile sollte mit istioctl jetzt in den meisten Fällen gelingen, die Funktion ist jedoch weiterhin im Betastatus. Trotz Verbesserungen an der neuen IstioOperator API stuft das Istio-Team die Verwaltung des Service-Mesh per Operator noch immer als Alpha-Funktion ein.

Detailliertere Einblicke und mehr Sicherheit

Weitere Fortschritte melden die Entwickler im Hinblick auf Security und Observability. Sämtliche Sicherheitsrichtlinien in Istio 1.5 haben mit Freigabe des neuen Release den Betastatus erreicht – darunter Auto mTLS , AuthenticationPolicy ( PeerAuthentication und RequestAuthentication ) sowie Autorisierung. Bei der Autorisierung können Anwender nun auch eine Deny-Semantik verwenden, um obligatorische Kontrollen durchzusetzen, die nicht außer Kraft gesetzt werden können. Darüber hinaus arbeitet der Secret Discovery Service (SDS), mit dem sich Dienste über TLS oder mTLS auch außerhalb des Service-Mesh ausstellen lassen, nun stabil. Istiod liefert eindeutige Zertifikate nun zentral an jeden Pod aus. Das bisher notwendige Mounten von Zertifikaten für jeden einzelnen Pod entfällt ebenso wie ein Restart von Envoy, wenn Zertifikatänderungen aktualisiert werden mussten.

Anwendern verspricht Istio 1.5 auch besseren Einblick in die Netzwerkkommunikation. Neben Informationen zu HTTP-Verbindungen liefert das jetzt standardmäßig aktivierte Telemetry Version 2 nun auch Kennzahlen zu TCP-Verbindungen. Die Verbesserungen am Telemetriesystem sollen außerdem zu geringeren Latenzen beitragen und durch den Verzicht auf Mixer reduziert sich insgesamt die CPU-Last.

Weitere Details zu den Verbesserungen und neuen Funktionen des Service-Mesh beschreibt das Entwicklerteam im Blogbeitrag zur Ankündigung von Istio 1.5. Eine vollständige Liste aller Änderungen findet sich im Changelog. (map)