GCP 网络服务 2020 年 5 月更新

**发布时间:** 2020-05-01 **厂商:** Google Cloud Platform **类型:** 月度更新汇总 --- <!-- AI_TASK_START: AI标题翻译 --> GCP 网络服务 2020 年 5 月更新 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 月度更新概览 ## 更新总览 2020年5月，Google Cloud Platform (GCP) 的网络服务产品线发布了14项更新，涉及4款核心产品：**VPC**、**Cloud CDN**、**Cloud DNS** 和 **Anthos Service Mesh**。本月更新重点聚焦于提升网络灵活性以支持混合云场景、简化 **Anthos Service Mesh** 的部署与安全性，以及增强 **Kubernetes** 环境下的网络可观测性。 ## 各产品更新详情 ### Virtual Private Cloud (VPC) - **GKE 注解与 VPC 流日志高级控制 (GA)** - 允许将 **VPC Flow Logs** 与 **GKE** 资源（如 Pods 和 Services）进行关联，极大地提升了在容器化环境中的网络流量可见性和故障排查效率。这是一个重要的可观测性增强，使得网络管理员能够精确地将网络流量归因到具体的微服务。 - 相关文档: [VPC Flow Logs](https://cloud.google.com/vpc/docs/using-flow-logs) - **VPC 子网支持非 RFC 1918 地址** - 解除了以往子网只能使用私有IP地址（RFC 1918）的限制。现在用户可以在 VPC 子网中使用公有 IP 地址或其他自定义地址范围。此项更新对于需要将自有公网 IP 段延伸至云内、或与具有重叠私网地址的本地数据中心集成的企业客户至关重要，显著增强了网络设计的灵活性。 - 相关文档: [Subnet ranges](https://cloud.google.com/vpc/docs/vpc#manually_created_subnet_ip_ranges) ### Cloud CDN - **新增配置示例** - 为帮助用户快速上手，增加了两种新的配置示例：基于托管实例组（MIG）和后端存储桶（Backend Bucket）设置 **Cloud CDN**。这降低了新用户的学习曲线。 - 相关文档: - [Setting up Cloud CDN with a managed instance group](https://cloud.google.com/cdn/docs/setting-up-cdn-with-mig) - [Setting up Cloud CDN with a backend bucket](https://cloud.google.com/cdn/docs/setting-up-cdn-with-bucket) - **新增功能摘要页面** - 上线了一个新的[功能页面](https://cloud.google.com/cdn/docs/features)，集中汇总了 **Cloud CDN** 的所有能力，方便用户全面了解产品特性。 ### Cloud DNS - **DNS 转发支持非 RFC 1918 地址 (GA)** - 允许将 DNS 查询转发到非私有IP地址的目标。此功能与 VPC 子网支持非 RFC 1918 地址的更新相辅相成，共同构成了对混合云网络场景的强力支持，使得企业可以无缝地将云上与本地的 DNS 解析体系（即使涉及公网IP）进行整合。 - 相关文档: [DNS forwarding to a non-RFC 1918 address](https://cloud.google.com/dns/zones#creating-forwarding-zones) ### Anthos Service Mesh - **版本更新与安全修复** - 发布 `1.5.4-asm.2` 新版本，并修复了安全漏洞 `CVE-2020-10739` ([ISTIO-SECURITY-2020-005](https://istio.io/news/security/istio-security-2020-005))。 - **Anthos CLI (Beta)** - 发布 **Anthos CLI** 测试版，该工具旨在简化 **Anthos Service Mesh** 的安装和集群配置过程，降低了服务网格的部署复杂度。 - 相关文档: - [Installing Anthos Service Mesh on a new cluster using the Anthos CLI](https://cloud.google.com//service-mesh/docs/gke-anthos-cli-new-cluster) - [Installing Anthos Service Mesh on an existing cluster using the Anthos CLI](https://cloud.google.com//service-mesh/docs/gke-anthos-cli-existing-cluster) - **支持 Istio CNI 插件** - **Anthos Service Mesh** 现在支持使用 **Istio CNI** 插件来替代传统的 `istio-init` **initContainer**。这意味着应用 Pod 的部署不再需要 `NET_ADMIN` 和 `NET_RAW` 等高权限，显著提升了集群的安全性，满足了企业对最小权限原则的合规要求。 - **重大变更 (Breaking Changes)** - **自动 Sidecar 注入端口变更**: 在私有集群中，用于自动 Sidecar 注入的端口从 `9443` 变更为 `15017`，用户需更新防火墙规则。 - **API 变更**: 用于配置的 `IstioControlPlane` API 已被 `IstioOperator` API 替代，用户必须更新其 YAML 配置文件。 - **其他更新** - **弃用 Alpha 版安全策略**: 标志着产品安全功能走向成熟和稳定。 - **简化 SDS 安全配置**: 通过架构改进，启用 **Secret Discovery Service (SDS)** 不再需要部署 Pod 安全策略。 ## 重点更新分析 1. **VPC 与 Cloud DNS 全面支持非 RFC 1918 地址** - **技术价值**: 这两项更新联动，打破了 GCP 网络与企业现有网络（尤其是使用公有IP地址段的内部网络）集成的关键障碍。它允许企业将其网络架构平滑地延伸至云端，而无需进行复杂的 **NAT** 或地址重映射，极大地简化了混合云和云迁移项目的网络规划。 - **业务影响**: 此举直接对标有复杂历史网络包袱的大型企业客户，降低了他们采用 GCP 的技术门槛，是 GCP 在企业级市场增强竞争力的重要举措。 2. **Anthos Service Mesh 支持 Istio CNI 插件** - **技术价值**: 这是服务网格在安全和运维领域的一大进步。传统的 `istio-init` 容器需要在 Pod 启动时修改 `iptables` 规则，这要求部署应用的服务账号拥有过高的系统权限，构成了安全风险。**CNI** 插件在 Pod 网络命名空间创建时完成流量劫持配置，将网络管理能力下沉到平台层，从而应用 Pod 可以遵循最小权限原则运行。 - **业务影响**: 对于金融、政府等安全合规要求严格的行业，这是一个决定性的功能。它消除了在生产环境中大规模推广服务网格的一个主要安全顾虑，加速了 **Anthos Service Mesh** 在这些领域的落地。 3. **推出 Anthos CLI 工具 (Beta)** - **技术价值**: 服务网格的安装和配置过程涉及众多组件和参数，历来是其推广应用的难点。**Anthos CLI** 将复杂的步骤封装成简单的命令，实现了自动化和标准化，降低了人为错误的可能性。 - **业务影响**: 降低服务网格的使用门槛，让更多开发者和运维团队能够快速上手和评估 **Anthos Service Mesh** 的价值，有助于扩大其用户基础和生态系统。 ## 趋势洞察 - **拥抱企业级混合云**: 本月在 VPC 和 DNS 上的核心更新都指向同一个战略方向：深度集成企业现有的复杂网络环境。这表明 GCP 正在持续发力，旨在成为大型企业混合云战略的首选平台。 - **简化复杂技术的落地**: **Anthos Service Mesh** 的一系列更新，无论是引入 CNI 插件还是推出 CLI 工具，都旨在降低其安全风险和操作复杂度。这反映出 GCP 的产品策略正从“提供强大功能”向“提供易于使用且安全的强大功能”转变，以加速高级云原生技术的普及。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # GCP网络服务月度更新 - 2020-05 **发布时间:** 2020-05-01 **厂商:** Google Cloud Platform **产品线:** 网络服务 **类型:** 月度更新汇总 **产品数量:** 4 个 **总更新数量:** 14 条 --- ## 产品更新概览 | 产品 | 更新数量 | 主要更新内容 | |------|----------|--------------| | VPC | 2条 | 用于 VPC 流日志的 GKE 注解和高级控制功能...; VPC 网络中的子网现已支持 RFC 1918 之外的 IP 地址... | | Cloud CDN | 2条 | 为帮助您快速入门，新增了两个示例...; 新增了功能页面，总结了 Cloud CDN 的所有功能... | | Cloud DNS | 1条 | 支持向非 RFC 1918 地址进行 DNS 转发... | | SERVICE-MESH | 9条 | 1.5.4-asm.2 版本发布; 安全修复...; Anthos CLI Beta 版发布... 等9项更新 | --- ## VPC 产品更新 **更新数量:** 2 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 用于 VPC 流日志的 GKE 注解和高级控制功能 | Feature | 2020-05-29 | | 2 | VPC 网络中的子网现已支持 RFC 1918 之外的 IP 地址 | Feature | 2020-05-18 | ### 详细更新内容 #### 1. 用于 VPC 流日志 (VPC Flow Logs) 的 GKE 注解和高级控制功能现已正式发布 (General Availability) **发布日期:** 2020-05-29 **更新类型:** Feature **功能描述:** 用于 VPC 流日志 (VPC Flow Logs) 的 GKE 注解和高级控制功能现已正式发布 (General Availability)。 **相关文档:** - [VPC 流日志](https://cloud.google.com/vpc/docs/using-flow-logs) --- #### 2. VPC 网络中的子网 (Subnets) 现已支持 RFC 1918 之外的 IP 地址 **发布日期:** 2020-05-18 **更新类型:** Feature **功能描述:** VPC 网络中的子网 (Subnets) 现已支持 RFC 1918 之外的 IP 地址。更多信息请参阅子网范围。 **相关文档:** - [子网范围](https://cloud.google.com/vpc/docs/vpc#manually_created_subnet_ip_ranges) --- ## Cloud CDN 产品更新 **更新数量:** 2 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 新增两个 Cloud CDN 设置示例 | Change | 2020-05-29 | | 2 | 新增功能页面，总结 Cloud CDN 的所有功能 | Change | 2020-05-01 | ### 详细更新内容 #### 1. 为帮助您快速入门，新增了两个关于如何设置 Cloud CDN 的示例 **发布日期:** 2020-05-29 **更新类型:** Change **功能描述:** 为帮助您快速入门，我们新增了两个关于如何设置 Cloud CDN 的示例： - 使用代管实例组 (managed instance group) 设置 Cloud CDN - 使用后端存储桶 (backend bucket) 设置 Cloud CDN **相关文档:** - [使用代管实例组设置 Cloud CDN](https://cloud.google.com/cdn/docs/setting-up-cdn-with-mig) - [使用后端存储桶设置 Cloud CDN](https://cloud.google.com/cdn/docs/setting-up-cdn-with-bucket) --- #### 2. 新增了一个功能页面，总结了 Cloud CDN 的所有功能 **发布日期:** 2020-05-01 **更新类型:** Change **功能描述:** 新增了一个功能页面，总结了 Cloud CDN 的所有功能。 **相关文档:** - [功能页面](https://cloud.google.com/cdn/docs/features) --- ## Cloud DNS 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 支持向非 RFC 1918 地址进行 DNS 转发 | Feature | 2020-05-18 | ### 详细更新内容 #### 1. 向非 RFC 1918 地址进行 DNS 转发 (DNS forwarding) 的功能现已正式发布 (General Availability) **发布日期:** 2020-05-18 **更新类型:** Feature **功能描述:** 向非 RFC 1918 地址进行 DNS 转发 (DNS forwarding) 的功能现已正式发布 (General Availability)。 **相关文档:** - [向非 RFC 1918 地址进行 DNS 转发](https://cloud.google.com/dns/zones#creating-forwarding-zones) --- ## SERVICE-MESH 产品更新 **更新数量:** 9 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 1.5.4-asm.2 版本发布 | Feature | 2020-05-20 | | 2 | 安全修复 | Fixed | 2020-05-20 | | 3 | Anthos CLI Beta 版发布 | Feature | 2020-05-20 | | 4 | 自动 sidecar 注入的端口变更 | Breaking | 2020-05-20 | | 5 | Alpha 版身份验证策略已弃用 | Deprecated | 2020-05-20 | | 6 | IstioOperatorAPI 替代 IstioControlPlaneAPI | Breaking | 2020-05-20 | | 7 | 不再需要启用 Pod 安全策略 | Change | 2020-05-20 | | 8 | 支持 Istio CNI 插件 | Change | 2020-05-20 | | 9 | 1.4.9-asm.1 版本发布，修复安全问题 | Fixed | 2020-05-12 | ### 详细更新内容 #### 1. 1.5.4-asm.2 版本现已发布 **发布日期:** 2020-05-20 **更新类型:** Feature **功能描述:** 1.5.4-asm.2 版本现已发布。 --- #### 2. 安全修复：1.5.4-asm.2 包含了 Anthos Service Mesh 1.4 中的所有安全修复 **发布日期:** 2020-05-20 **更新类型:** Fixed **功能描述:** 安全修复：1.5.4-asm.2 包含了 Anthos Service Mesh 1.4 中的所有安全修复。 --- #### 3. Anthos CLI Beta 版发布：Anthos CLI 简化了 Anthos Service Mesh 的安装过程 **发布日期:** 2020-05-20 **更新类型:** Feature **功能描述:** Anthos CLI Beta 版发布：Anthos CLI 简化了 Anthos Service Mesh 的安装过程。您可以使用 Anthos CLI 来： - 创建一个满足 Anthos Service Mesh 集群要求的新集群并安装 Anthos Service Mesh。请参阅[使用 Anthos CLI 在新集群上安装 Anthos Service Mesh](https://cloud.google.com//service-mesh/docs/gke-anthos-cli-new-cluster) 。 - 更新现有集群以满足 Anthos Service Mesh 所需的选项并安装 Anthos Service Mesh。请参阅[使用 Anthos CLI 在现有集群上安装 Anthos Service Mesh](https://cloud.google.com//service-mesh/docs/gke-anthos-cli-existing-cluster) 。 **相关文档:** - [使用 Anthos CLI 在新集群上安装 Anthos Service Mesh](https://cloud.google.com//service-mesh/docs/gke-anthos-cli-new-cluster) - [使用 Anthos CLI 在现有集群上安装 Anthos Service Mesh](https://cloud.google.com//service-mesh/docs/gke-anthos-cli-existing-cluster) --- #### 4. 自动 sidecar 注入 (sidecar injection) 的端口变更 **发布日期:** 2020-05-20 **更新类型:** Breaking **功能描述:** 自动 sidecar 注入 (sidecar injection) 的端口变更：如果您在私有集群上安装 Anthos Service Mesh，并且希望使用自动 sidecar 注入，则必须添加一条防火墙规则来开放 15017 端口。在 Anthos Service Mesh 1.4 中，用于自动 sidecar 注入的端口是 9443。如果您未添加防火墙规则且启用了自动 sidecar 注入，部署工作负载时将会出错。有关添加防火墙规则的详细信息，请参阅为特定用例添加防火墙规则。 **相关文档:** - [自动 sidecar 注入](https://cloud.google.com/service-mesh/docs/proxy-injection) - [为特定用例添加防火墙规则](https://cloud.google.com/kubernetes-engine/docs/how-to/private-clusters#add_firewall_rules) --- #### 5. Alpha 版身份验证策略已弃用 **发布日期:** 2020-05-20 **更新类型:** Deprecated **功能描述:** Alpha 版身份验证策略已弃用。更多信息请参阅更新至 Beta 版安全策略。 **相关文档:** - [更新至 Beta 版安全策略](https://cloud.google.com/service-mesh/docs/security/update-authentication-policies) --- #### 6. IstioOperatorAPI 替代 IstioControlPlaneAPI **发布日期:** 2020-05-20 **更新类型:** Breaking **功能描述:** IstioOperatorAPI 替代 IstioControlPlaneAPI：Alpha 版的 IstioControlPlaneAPI 已被 IstioOperatorAPI 替代。在安装 Anthos Service Mesh 时，您必须在 YAML 文件中使用 IstioOperatorAPI 来启用可选功能。 **相关文档:** - [IstioControlPlaneAPI](https://archive.istio.io/v1.4/docs/reference/config/istio.operator.v1alpha12.pb/#IstioControlPlane) - [IstioOperatorAPI](https://istio.io/docs/reference/config/istio.operator.v1alpha1/#IstioComponentSetSpec) --- #### 7. 不再需要启用 Pod 安全策略 **发布日期:** 2020-05-20 **更新类型:** Change **功能描述:** 不再需要启用 Pod 安全策略：通过将 Node Agent 与 Pilot Agent 合并为 Istio Agent 并移除跨 Pod 的 UDS，SDS 的安全性得到了增强。这使得用户无需再为 UDS 连接部署 Kubernetes Pod 安全策略 (pod security policies)。 --- #### 8. 支持 Istio CNI 插件 **发布日期:** 2020-05-20 **更新类型:** Change **功能描述:** 支持 Istio CNI 插件：默认情况下，Anthos Service Mesh 会在部署到网格中的 Pod 内注入一个 init 容器 (initContainer)，即 `istio-init`。`istio-init` 容器负责设置进出 sidecar 代理的 Pod 网络流量重定向。这要求部署 Pod 到网格中的用户或服务账户拥有足够的 Kubernetes RBAC 权限，以便部署具有 `NET_ADMIN` 和 `NET_RAW` 能力的容器。要求用户拥有提升的 Kubernetes RBAC 权限对于某些组织的安全合规性来说是个问题。Istio 容器网络接口 (Container Network Interface, CNI) 插件是 `istio-init` 容器的替代方案，它能实现相同的网络功能，但无需用户启用提升的 Kubernetes RBAC 权限。Istio CNI 插件在 Kubernetes Pod生命周期的网络设置阶段执行网格 Pod 的流量重定向，从而消除了部署 Pod 到网格中的用户对 `NET_ADMIN` 和 `NET_RAW` 能力的需求。Istio CNI 插件替代了 `istio-init` 容器提供的功能。 --- #### 9. 1.4.9-asm.1：修复了安全问题 CVE-2020-10739 **发布日期:** 2020-05-12 **更新类型:** Fixed **功能描述:** 1.4.9-asm.1：修复了安全问题 CVE-2020-10739，其修复方案与开源 (OSS) Istio 1.4.9 相同。更多信息请参阅 ISTIO-SECURITY-2020-005。 **相关文档:** - [OSS Istio 1.4.9](https://istio.io/news/releases/1.4.x/announcing-1.4.9) - [ISTIO-SECURITY-2020-005](https://istio.io/news/security/istio-security-2020-005) --- ## 数据来源 本文档内容来源于GCP官方Release Notes页面，具体更新详情请访问: - https://cloud.google.com/cdn/docs/release-notes - https://cloud.google.com/dns/docs/release-notes - https://cloud.google.com/service-mesh/docs/release-notes - https://cloud.google.com/vpc/docs/release-notes **生成时间:** 2025-12-22 10:55:23 <!-- AI_TASK_END: AI全文翻译 -->