Kmesh v1.0 正式发布!7 大特性提升网络流量管理效率和安全性
Kmesh v1.0 正式发布!7 大特性提升网络流量管理效率和安全性
2025 年新年伊始,Kmesh 团队正式发布了 Kmesh v1.0234。以下是 Kmesh v1.0 提升网络流量管理效率和安全性的 7 大特性35:
- 加密通信:引入 IPsec 协议对节点间流量加密,将明文数据转为密文,确保通信的机密性与完整性,防止数据窃听、篡改或伪造。结合 Kubernetes 的灵活性和 CRD 的扩展能力,Kmesh 可在复杂集群环境中高效管理加密密钥,动态同步节点信息。
- 授权策略下沉:将更多 Authorization 功能下沉到 XDP 程序,支持基于 IP 的 Authorization 处理。在 TCP 建链时进行鉴权,通过鉴权的流量进入协议栈,未通过的丢弃 SYN 包。可在网络数据包进入内核协议栈的最早阶段进行鉴权,减少上下文切换开销,提升数据包处理效率,降低系统资源消耗。
- 基于地域的负载均衡:具备基于地域的负载均衡能力,可将流量路由到地域优先级最高的服务实例。提供 region、zone、subzone、nodename 和 clusterid 五种不同粒度的地域负载均衡,用户能灵活配置策略。在策略更新期间,会逐一更新 endpointmap 中的 endpoint_key,确保服务连续性。
- 可观测性优化:优化了 Metrics 标签,将 destination_service 替换成本次请求最终的 destination,使呈现的 Metrics 更加合理易懂,提升可观测数据的清晰度和可用性。还与 Kiali 结合,为用户呈现清晰直观的服务拓扑图,帮助用户全面了解集群中各个服务之间的依赖关系和通信状态,便于监控和诊断网络状况。
- 全模式无中断重启:实现了 Kernel - Native 模式下的全模式无中断重启能力,通过优雅加载 eBPF 配置,在重启过程中持续维护流量治理功能,确保服务不中断,避免了传统 Service Mesh 在升级或重启时造成的服务中断,提升了系统的可靠性和用户体验。
- 熔断与限流:新增熔断与限流功能,在 Kernel-Native 模式下,当系统出现高并发或流量激增等情况时,能够自动触发熔断或限流机制,避免系统因过载而崩溃,确保系统依然稳定,保障用户体验。
- 框架适配:适配了 Istio 1.24,并通过严格的 e2e 测试确保稳定性,使用户在使用 Kmesh 时,能够兼容使用 Istio 的最新特性,拓宽了 Kmesh 的应用范围,便于与其他相关技术和框架集成,满足不同用户的多样化需求,进一步提升了其在复杂网络环境中的适用性。