Linkerd 2.19 正式上线,此次更新标志着其安全能力的重大飞跃:默认启用全新 TLS 架构,并集成后量子密钥交换算法,全面提升通信安全性。
作为 Buoyant 宣布商业化成功并确保 Linkerd 长期可持续发展以来发布的第三大版本,Linkerd 2.19 延续了一贯的设计理念——简化运维操作,让服务网格在保持高性能与高扩展性的同时更易于管理。
官方公告速览
- 推出 Buoyant Enterprise for Linkerd 2.19:新增对 Windows 服务网格的支持,引入后量子加密、软件供应链安全机制、FIPS 140-3 合规认证,以及全新的集群可视化仪表板
迈向后量子安全的 TLS 升级
Linkerd 2.19 对内部 TLS 实现进行了深度重构,全面为后量子计算威胁做好准备。核心加密库由原来的 ring 替换为 aws-lc,显著增强密码学基础。新版本默认启用 AES_256_GCM 加密套件和基于 NIST 标准化的 ML-KEM-768 后量子密钥封装机制,确保所有服务间 Pod 通信均受先进加密保护。同时,TLS 使用的密码套件、密钥交换方式及签名算法均已纳入标准监控指标,便于审计与观测。
主要更新特性
Linkerd 2.19 将原生 sidecar 支持从 alpha 阶段推进至 beta 阶段。该功能自 Linkerd 2.15 版本引入,并于今年四月获得 Kubernetes 社区正式支持。原生 sidecar 解决了传统 sidecar 在 Job 工作负载中的启动问题和容器初始化时的竞争条件缺陷。用户可通过添加注解 config.beta.linkerd.io/proxy-enable-native-sidecar 来启用此模式。
此外,本版本还修复了多个关键问题:
- 现在会阻止对 clusterIP 服务中未在 Service 定义里声明的端口发起连接,行为与 kube-proxy 保持一致;
- 修复 native-sidecar 模式下 linkerd-admin 端口的服务发现缓存失效问题;
- 修复控制平面在处理包含非法主机名的发现请求时可能触发 panic 的隐患;
- 修复因 Server 资源中 podSelector 配置错误导致其他合法 Server 资源无法正常处理的问题。
源码地址:点击下载
