istio · wilsonwu · Nov 6, 2025
@@ -0,0 +1,8 @@
+---
+title: 1.28.x 版本
+description: 1.28 版本及其相关补丁版本的公告。
+weight: 2
+list_by_publishdate: true
+layout: release-grid
+decoration: dot
+---
@@ -0,0 +1,103 @@
+---
+title: 发布 Istio 1.28.0
+linktitle: 1.28.0
+subtitle: 大版本更新
+description: Istio 1.28 发布公告。
+publishdate: 2025-11-05
+release: 1.28.0
+aliases:
+    - /zh/news/announcing-1.28
+    - /zh/news/announcing-1.28.0
+---
+
+我们很高兴地宣布 Istio 1.28 正式发布。感谢所有贡献者、
+测试人员、用户和爱好者们帮助我们发布 1.28.0 版本！
+我们还要感谢本次发布的发布经理：来自微软的 **Gustavo Meira**、
+来自红帽的 **Francisco Herrera** 以及来自微软的 **Darrin Cecil**。
+
+{{< relnote >}}
+
+{{< tip >}}
+Istio 1.28.0 已正式支持 Kubernetes 1.29 至 1.34 版本。
+{{< /tip >}}
+
+## 新特性 {#whats-new}
+
+### 推理扩展支持 {#inference-extension-support}
+
+Istio 1.28 通过引入 `InferencePool` v1 继续增强对 Gateway API 推理扩展的支持。
+此增强功能可更好地管理和路由 AI 推理工作负载，
+从而更容易在 Kubernetes 上部署和扩展生成式 AI 模型，并实现智能流量管理。
+
+`InferencePool` v1 API 为管理推理端点池提供了更高的稳定性和功能，
+从而能够为 AI 工作负载实现更复杂的负载均衡和故障转移策略。
+
+### Ambient 多集群 {#ambient-multicluster}
+
+Istio 1.28 为 Ambient 多集群部署带来了显著改进。现在，在环境多集群配置中，
+waypoint 可以将流量路由到远程网络，从而扩展了环境功能。
+此增强功能支持异常值检测和其他跨网络请求的 L7 策略，使管理多网络服务网格部署更加便捷。
+
+Ambient 多集群功能仍处于 Alpha 测试阶段，存在一些已知问题，
+这些问题将在未来的版本中得到解决。如果最近的更改对您的 Ambient 多集群部署产生了负面影响，
+可以通过将 `AMBIENT_ENABLE_MULTI_NETWORK_WAYPOINT` 试点环境变量设置为 `false` 来禁用最近的航点行为更改。
+
+我们欢迎 Ambient 多集群的早期用户提供反馈和错误报告。
+
+### Ambient 模式下的原生 nftables 支持 {#native-nftables-support-in-ambient-mode}
+
+Istio 1.28 版本在 Ambient 模式下引入了对原生 nftables 的支持。
+这项重大改进允许您使用 nftables 而非 iptables 来管理网络规则，
+从而提供更灵活的规则管理方式。要启用 nftables 模式，
+请在安装 Istio 时使用 `--set values.global.nativeNftables=true` 参数。
+
+这项新增功能完善了 Sidecar 模式下现有的 nftables 支持，
+确保 Istio 与现代 Linux 网络框架保持同步。
+
+### 双栈支持升级至 Beta 版 {#dual-stack-support-promoted-to-beta}
+
+在此版本中，Istio 的双栈网络支持已升级为 Beta 版。
+此项改进提供了强大的 IPv4/IPv6 网络功能，
+使企业能够在需要同时使用两种 IP 协议版本的现代网络环境中部署 Istio。
+
+### 增强安全功能 {#enhanced-security-features}
+
+此版本包含多项重要的安全改进：
+
+- **增强的 JWT 身份验证**：改进的 JWT 过滤器配置现在除了支持“scope”和“permission”等默认声明外，
+  还支持自定义的空格分隔声明。此增强功能确保使用 `RequestAuthentication`
+  资源中的 `spaceDelimitedClaims` 字段正确验证带有自定义声明的 JWT 令牌。
+- **`NetworkPolicy` 支持**：为 istiod 提供可选的 `NetworkPolicy` 部署，
+  并启用 `global.networkPolicy.enabled=true`。
+- **增强容器安全性**：支持在 istio-validation 和 istio-proxy 容器中配置
+  `seccompProfile`，以提高安全合规性。
+- **Gateway API 安全性**：支持 `FrontendTLSValidation` (GEP-91)，
+  实现双向 TLS 入口网关配置
+- **改进的证书处理**：优化了根证书解析，能够过滤掉格式错误的证书，而不是直接拒绝整个证书包。
+
+### Gateway API 和流量管理增强功能 {#gateway-api-and-traffic-management-enhancements}
+
+- **`BackendTLSPolicy` v1**：全面支持 Gateway API v1.4，并增强了 TLS 配置选项
+- **`ServiceEntry` 集成**：支持将 `ServiceEntry` 作为 `BackendTLSPolicy`
+  中的 `targetRef`，用于外部服务的 TLS 配置
+- **通配符主机支持**：`ServiceEntry` 资源现在支持使用 `DYNAMIC_DNS`
+  解析的通配符主机（仅限 HTTP 流量，需要环境模式和路径点）
+
+### 还有更多精彩内容 {#plus-much-more}
+
+- **基于角色的安装**：Helm Chart 中新增 `resourceScope` 选项，
+  用于命名空间或集群范围的资源管理
+- **改进的负载均衡**：在一致性哈希负载均衡中支持 Cookie 属性，
+  并提供 `SameSite`、`Secure` 和 `HttpOnly` 等安全选项
+- **增强的遥测功能**：支持 B3/W3C 双标头传播，以提高追踪互操作性
+- **istioctl 改进**：自动检测默认版本并增强调试功能
+
+请参阅完整的[发行说明](change-notes/)了解这些内容及更多信息。
+
+## 升级到 1.28 {#upgrading-to-1-28}
+
+我们期待您分享升级到 Istio 1.28 的体验。
+您可以在我们 [Slack 工作区](https://slack.istio.io/) 的 `#release-1.28` 频道中提供反馈。
+
+您想直接为 Istio 做出贡献吗？
+查找并加入我们的[工作组](https://github.com/istio/community/blob/master/WORKING-GROUPS.md)，帮助我们改进。
@@ -0,0 +1,63 @@
+---
+title: Istio 1.27 升级说明
+description: 升级到 Istio 1.28.0 时要考虑的重要变更。
+weight: 20
+---
+
+当您从 Istio 1.27.x 升级到 Istio 1.28.0 时，您需要考虑本页所述的变更。
+这些说明详述了故意打破 Istio 1.27.x 向后兼容性的一些变更。
+这些说明还提到了在引入新特性的同时保持向后兼容性的一些变更。
+这里仅包含出乎 Istio 1.27.x 用户意料的新特性变更。
+
+## 为 Sidecar 容器启用 `seccompProfile` {#enabling-seccompprofile-for-sidecar-containers}
+
+要为 `istio-validation` 和 `istio-proxy`
+容器启用 `RuntimeDefault` 安全计算模式配置文件
+`seccompProfile`，请在 Istio 配置中进行以下设置：
+
+{{< text yaml >}}
+global:
+  proxy:
+    seccompProfile:
+      type: RuntimeDefault
+{{< /text >}}
+
+此项更改通过使用容器运行时提供的默认 `seccompProfile` 来实现更好的安全实践。
+
+## InferencePool
+
+InferencePool API 现已发布至 v1.0.0 版本。
+如果您正在使用之前的不稳定版本，请改用 v1 版本的 InferencePool API 类型。
+请注意，我们已不再支持 alpha 版本和候选发布版本。
+
+**如果您是从 v1.0.0-rc.1 版本迁移，**请注意，`inferencePool.spec.endpointPickerRef.portNumber`字段已替换为 `inferencePool.spec.endpointPickerRef.port.number`。
+`inferencePool.spec.endpointPickerRef.port` 字段为非指针类型，
+当 `inferencePool.spec.endpointPickerRef.kind` 未设置或为 `Service` 时，
+该字段为必填项。端口号 9002 不再被用于推断。
+
+## 被设置为 `NONE` 的 ServiceEntry 的 Ambient 数据平面行为变更 {#ambient-data-plane-behavior-changes-for-serviceentries-with-resolution-set-to-none}
+
+从旧版本升级到支持“PASSTHROUGH”服务的版本时，
+旧的 ztunnel 镜像会在 XDS 中报告 NACK，因为它们不支持这种新的服务类型。
+这是预期行为，通常不会造成太大问题，但看到 NACK 可能意味着数据平面行为发生了变化。
+升级过程中，NACK 可能导致以下情况：
+
+1. 由于数据平面配置无法处理新的服务类型，因此未进行更新。这实际上相当于一次空操作更新。
+1. 该服务是新创建的，数据平面尚未接受其配置。
+  这将导致数据平面表现得如同 ServiceEntry 不存在一样。因此，
+  ztunnel 无法识别该服务，也无法确定是否需要 waypoint，从而导致直通行为。
+
+无论哪种情况，一旦 ztunnel 更新到支持新服务类型的版本，NACK 行为就会得到解决。
+
+## `BackendTLSPolicy` Alpha 移除 {#backendtlspolicy-alpha-removal}
+
+已移除对 `BackendTLSPolicy` v1alpha3 版本的支持。
+目前仅支持 `BackendTLSPolicy` v1 版本。
+
+请注意，在此版本之前，除非显式启用 `PILOT_ENABLE_ALPHA_GATEWAY_API=true` 选项，
+否则 Istio 会忽略 `BackendTLSPolicy`。由于该策略现在已升级到 `v1` 版本，因此不再需要此设置。
+
+## 迁移到新的指标淘汰机制 {#migrate-to-the-new-metric-eviction-mechanism}
+
+Pilot 环境标志 `METRIC_ROTATION_INTERVAL` 和 `METRIC_GRACEFUL_DELETION_INTERVAL` 已被移除。
+请改用新的统计驱逐 API 和 Pod 注解 `sidecar.istio.io/statsEvictionInterval`。