Add new blogs

rootsongjc · rootsongjc · commit b8e1492d1871 · 2025-02-06T16:58:28.000+08:00
diff --git a/content/blog/cilium-1-17-0-release-highlights/index.md b/content/blog/cilium-1-17-0-release-highlights/index.md
@@ -0,0 +1,59 @@
+---
+title: "Cilium v1.17.0 发布，新特性一览"
+summary: "Cilium v1.17.0发布，网络上推服务质量标注等功能；安全方面优化策略性能；增强服务网格与Gateway API支持；提升可观测性；优化规模处理能力；并分享社区活动与用户案例。 "
+authors: ["云原生社区"]
+categories: ["Cilium"]
+tags: ["Cilium"]
+draft: false
+date: 2025-02-05T15:22:42+08:00
+---
+
+[Cilium v1.17.0](https://github.com/cilium/cilium/releases/tag/v1.17.0) 带来了许多新的增强和改进，以下是本次更新的主要亮点：
+
+## 🚠 网络（Networking）
+
+- **🚦 服务质量（Quality of Service）**：可为 Pod 标注 `Guaranteed`、`Burstable` 或 `BestEffort` 出站流量优先级。
+- **🌐 多集群服务 API（Multi-Cluster Service API）**：使用 Kubernetes MCS 在 Cilium Cluster Mesh 中管理全局服务。
+- **🔀 基于 L4 协议的负载均衡（Load Balance based on L4 Protocol）**：支持区分 TCP 和 UDP 负载均衡，使相同端口的多个服务能够分发到不同的后端。
+- **🥲 每个服务的负载均衡算法（Per-Service LB Algorithms）**：可为单个服务选择 `maglev` 或 `random` 负载均衡算法。
+- **⛔ 服务来源范围的拒绝列表（Deny lists for Service source ranges）**：控制 Kubernetes `loadBalancerSourceRanges` 是否作为允许或拒绝列表。
+- **🏊 更好的 IPAM 控制（Better control over IPAM）**：支持基于 AWS 标签的静态 IP 分配，多池模式可支持单个 IP 范围。
+- **🛠️ 动态 MTU 检测（Dynamic MTU detection）**：Cilium 现在可以在运行时检测并调整 MTU，无需重启代理。
+
+## 💂️ 安全（Security）
+
+- **🚀 改进网络策略性能（Improved network policy performance）**：降低计算复杂网络策略组合的成本。
+- **🗂️ 优先处理关键网络策略（Prioritize critical network policies）**：支持 Kubernetes `priorityNamespaces`，在使用 CiliumEndpointSlices 时优先传播关键命名空间的策略。
+- **📋 网络策略验证（Validate Network Policies）**：在创建网络策略时可获得更好的反馈。
+- **🏷️ 通过标签选择 CIDRGroups（Select CIDRGroups by Label）**：可为 CIDRGroups 添加标签，并用于网络策略选择。
+- **🛏️ 扩展 ToServices 用于集群内服务（Extend ToServices for in-cluster services）**：支持带选择器的服务通过 `ToServices` 网络策略进行选择。
+- **🚧 支持 hostNetwork 的 FQDN 过滤（FQDN Filtering for hostNetwork）**：可使用 `CiliumClusterwideNetworkPolicy` 配置集群节点的 DNS 请求的 L7 过滤。
+- **📶 端口范围上的 HTTP 策略（HTTP policies on port ranges）**：支持在单个策略中重定向多个端口到 Envoy 进行 L7 过滤。
+
+## 🕸️ 服务网格 & Gateway API（Service Mesh & Gateway API）
+
+- **⛩️ Gateway API 1.2.1**：支持最新的 Gateway API v1.2.1，包括 HTTP 重试和镜像流量比例控制。
+- **📝 静态网关地址（Static Gateway Addressing）**：支持静态指定网关地址。
+- **🔐 改进 Envoy TLS 处理（Improved Envoy TLS handling）**：使用 SDS 管理 Envoy 的 TLS 可见性密钥，提高策略计算速度和密钥访问效率。
+
+## 👁️ 可观测性（Observability）
+
+- **🔍 动态 Hubble 指标（Dynamic Hubble Metrics）**：支持 `hubble-metrics-config` ConfigMap 配置 Hubble 指标，优化网络可观测性。
+- **🛤️ 通过 Prometheus 监控启用的功能（Track enabled features using Prometheus）**：`cilium-agent` 和 `cilium-operator` 组件现可暴露 Prometheus 指标，显示已启用的功能。
+- **📊 更多新指标（Many new metrics）**：增强 BGP、网络连接、网络策略、Pod 管理和 Cilium 组件状态的监控指标。
+
+## 🌅 规模（Scale）
+
+- **📈 改进集群连接性检查（Better cluster connectivity checking）**：`cilium-health` 组件针对大规模集群进行了优化，以提高网络健康检查的可靠性。
+- **⏳ 速率限制监控事件（Rate-limit monitor events）**：优化 eBPF 事件处理，降低 CPU 负载。
+- **👥 双写身份模式（Double-Write Identity mode）**：新增安全身份分配模式，简化 CRD 和 KVStore 之间的迁移。
+- **⚖️ 更好的规模测试（Better scale testing）**：本次发布包含定期自动化大规模测试，增强网络策略的稳定性。
+
+## 🏡 社区（Community）
+
+- **❤️ Cilium 在生产环境的用户案例**：
+    - [Seznam](https://www.cncf.io/case-studies/seznam/)、[Alibaba Cloud](https://www.cncf.io/case-studies/alibaba/)、[SysEleven](https://www.cncf.io/case-studies/syseleven/)、[QingCloud](https://www.cncf.io/case-studies/qingcloud/)、[ECCO](https://www.youtube.com/watch?v=Ennjmo9TFaM)、[Reddit](https://www.youtube.com/watch?v=YNDp7Id7Bbs)、[Confluent](https://www.youtube.com/watch?v=vOSiVeBXYpM)、[SamsungAds](https://www.youtube.com/watch?v=2KlVTx611bk)、[Sony](https://www.youtube.com/watch?v=M0PincxlHpI)
+- **[Cilium 年度报告 2024](https://github.com/cilium/cilium.io/blob/main/Annual-Reports/Cilium_Annual_Report_2024.pdf)**：总结了社区的年度亮点，并强调了 Kubernetes 网络的关键发展。
+- **社区活动**：
+    - Cilium 社区在 [Cilium + eBPF Day](https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/co-located-events/cilium-ebpf-day/) 和 [Cilium Developer Summit](https://github.com/cilium/dev-summits/tree/main/2024-NA) 进行线下聚会。
+    - 欢迎参加即将到来的 [CiliumCon](https://events.linuxfoundation.org/kubecon-cloudnativecon-europe/co-located-events/ciliumcon/) 和 [Cilium Developer Summit](https://docs.google.com/forms/d/e/1FAIpQLSd8E1dtCYiwqcw1MemQU3RDKlIQNBi2dRVMVGqDPgSow9mKjA/viewform?usp=header)！
diff --git a/content/blog/envoy-gateway-1-3-release-highlights/index.md b/content/blog/envoy-gateway-1-3-release-highlights/index.md
@@ -0,0 +1,71 @@
+---
+title: "Envoy Gateway 1.3 发布：增强安全性、流量管理和运维能力"
+summary: "Envoy Gateway 1.3 版本在 安全性、流量管理和运维能力 方面进行了重大增强，并引入了 API Key 认证、支持 HTTPRoute 重试 以及 更灵活的基础设施管理 等关键改进。"
+authors: ["Tetrate"]
+translators: ["云原生社区"]
+categories: ["Envoy Gateway"]
+tags: ["Envoy","Envoy Gateway"]
+draft: false
+date: 2025-02-06T15:17:32+08:00
+links:
+  - icon: language
+    icon_pack: fa
+    name: 阅读英文版原文
+    url: https://tetrate.io/blog/envoy-gateway-1-3-release-highlights/
+---
+
+
+Envoy Gateway 1.3 版本在 **安全性、流量管理和运维能力** 方面进行了重大增强，并引入了 **API Key 认证**、**支持 HTTPRoute 重试** 以及 **更灵活的基础设施管理** 等关键改进。详见 [Envoy Gateway 1.3 发布公告](https://gateway.envoyproxy.io/news/releases/v1.3/)。
+
+## 1.2 到 1.3 版本的核心变化
+
+本次发布重点更新包括 **安全特性增强**、**流量管理优化** 以及 **运维管控提升**。此外，1.3 版本还引入了一些 **重大变更**，以提升系统的安全性和可靠性，增强身份认证和流量管理能力。
+
+本次更新的详细内容包括：
+
+- **22 项新特性**，涵盖安全、流量管理和运维优化
+- **26 项 Bug 修复**，提升稳定性和可靠性
+
+本文将总结 Envoy Gateway 1.3 版本最重要的更新内容。
+
+## **主要特性亮点**
+
+### 1. 安全性：增强认证与访问管理
+
+- **API Key 认证**：SecurityPolicy API 现支持 API Key 访问控制，简化从其他 Gateway 解决方案的迁移
+- **安全策略增强**：改进 **外部认证（ext-auth）** 服务器集成，并支持 JWKS 配置的自定义 TLS 设置
+- **客户端 IP 解析优化**：支持从 `X-Forwarded-For (XFF)` 头部提取真实客户端 IP
+- **扩展服务默认 “fail-closed” 机制**：当扩展服务器返回错误时，将立即用 `Internal Server Error`（500 状态码）响应受影响的请求，确保安全性
+
+### 2. 流量管理：更智能的路由与控制
+
+- **扩展协议支持**：现在支持在 `GRPCRoute`、`TCPRoute` 和 `UDPRoute` API 中路由至 Backend 资源
+- **响应压缩（Response Compression）**：BackendTrafficPolicy API 现支持对响应进行压缩，减少流量占用
+- **GEP-1731 实施**：实现了 **Kubernetes Gateway API 的 HTTPRoute 重试**，支持通过 **Gateway API**（而非 Envoy Gateway API）定义请求重试策略
+- **基于动态元数据的限流（Dynamic Cost-Based Rate Limiting）**：限流 API 现支持从 **动态元数据（Dynamic Metadata）** 提取成本值，可基于请求的不同消耗量对客户端进行限流
+- **用户定义路由顺序**：EnvoyProxy CRD 现支持 **保留用户自定义的 HTTPRoute 匹配顺序**，增强路由控制灵活性
+
+### . 运营管理：基础设施优化
+
+- **HPA（水平自动扩展）增强**：提供 **EnvoyProxy HPA** 和 **PDB（Pod Disruption Budget）** 的更多配置选项
+- **改进 IPv6 支持**：优化 **双栈（Dual-Stack）支持**，修复 IPv6 相关问题
+- **优雅终止（Graceful Termination）**：在终止进程期间增强端点管理，确保平滑下线
+
+### 4. 可观测性：监控与控制能力提升
+
+- **Tracing 追踪优化**：改进追踪采样控制，支持 **按比例（fraction-based）定义采样率**
+- **增强指标（Metrics）**：新增监控 Envoy Gateway **崩溃（Panic）** 相关的指标和仪表盘
+- **扩展处理（Extension Processing）**：优化外部处理器（External Processor）的属性管理和配置选项
+
+### 总结
+
+Envoy Gateway 1.3 为团队提供了更强大的 **安全性**、**流量管理** 和 **运维能力**，主要更新包括：
+
+ ✅ **增强身份认证机制**（API Key 认证、JWKS TLS 配置等）
+
+ ✅ **优化路由与限流能力**（支持 GRPCRoute、HTTPRoute 重试、动态元数据限流等）
+
+ ✅ **提高生产环境运维效率**（HPA 支持、IPv6 兼容、扩展服务 fail-closed 机制等）
+
+这些改进使 Envoy Gateway 在 **生产环境** 下更具安全性、可扩展性和管理便利性，为 Kubernetes 生态中的流量管理提供更稳定、更强大的解决方案。🚀
+
