Linkerd 2.19 發佈:後量子密碼學 - 新闻 详情

Linkerd 2.19 現已發佈,本次版本帶來了 Linkerd 安全性的重大提升:默認啓用現代化的 TLS 棧,採用後量子密鑰交換算法。

Linkerd 2.19 是 Buoyant 一年前宣佈盈利及 Linkerd 項目可持續性後的第三個重要版本,繼續專注於操作簡易性——把複雜的服務網格功能做到易管理、高擴展、高性能。

相關公告

  • 宣佈 Buoyant Enterprise for Linkerd 2.19:支持 Windows 服務網格、後量子密碼學、供應鏈安全、FIPS 140-3 認證及新的集羣儀表盤

後量子 TLS

Linkerd 2.19 大幅改造了內部 TLS 體系,為後量子時代做準備。將代理中的核心加密模塊從 ring 換成了 aws-lc,新增了 AES_256_GCM 密碼套件和後量子 ML-KEM-768 密鑰交換算法,所有網格內 Pod 通信默認啓用這些算法。此外,TLS 的密碼套件、密鑰交換和簽名算法均納入標準指標導出。

其他亮點

Linkerd 2.19 正式將對原生 sidecar 的支持從 alpha 升級到 beta。原生 sidecar 自 Linkerd 2.15 起支持,並在今年四月獲得 Kubernetes 的正式認可。它解決了 Kubernetes 中使用 sidecar 容器的老問題,特別是對 Job 支持和容器啓動競態條件的改進。現在可以通過設置註解 config.beta.linkerd.io/proxy-enable-native-sidecar 來啓用。

本版本還修復了若干小問題。Linkerd 現在會阻止連接到未在 Service 規範中定義端口的 clusterIP 服務,行為與 kube-proxy 保持一致。修復了 native-sidecar 模式下針對 linkerd-admin 端口的發現緩存過期問題;控制平面處理帶無效主機名的發現請求時可能出現的 panic;以及 Server 資源中無效 podSelector 可能導致所有 Server 資源無法處理的問題。