GCP 网络服务 2020 年 6 月更新

**发布时间:** 2020-06-01 **厂商:** Google Cloud Platform **类型:** 月度更新汇总 ---  GCP 网络服务 2020 年 6 月更新   # 月度更新概览 ## 更新总览 2020年6月，Google Cloud Platform (GCP) 对其网络服务产品线进行了25项更新，涉及6个核心产品。本次更新的重点聚焦于 **Anthos Service Mesh (ASM)** 的重大版本发布与功能增强，以及在 **VPC** 安全与治理方面推出关键预览功能，体现了GCP在混合多云管理和企业级安全控制方面的持续投入。 ## 各产品更新详情 ### VPC - **防火墙规则日志元数据控制 (Beta):** 现已支持在防火墙日志中包含或排除元数据字段，为日志审计和分析提供了更高的灵活性。详情请见 [Firewall Rules Logging metadata controls](https://cloud.google.com/vpc/docs/firewall-rules-logging#log-format)。 - **新增自动模式VPC子网:** 为雅加达区域 (`asia-southeast2`) 的自动模式VPC网络增加了新的子网范围 `10.184.0.0/20`。参考 [Auto mode IP ranges](https://cloud.google.com/vpc/docs/vpc#ip-ranges)。 - **分层防火墙策略 (Beta):** 推出分层防火墙策略功能，允许在组织或文件夹级别设置防火墙规则，从而实现对下级所有项目和VPC网络的集中式、强制性安全策略管理。详情请见 [Hierarchical firewall policies](https://cloud.google.com/vpc/docs/firewall-policies)。 ### Cloud CDN - **HTTP(S) 负载均衡与 Cloud CDN 日志功能正式可用 (GA):** 该功能现已正式发布，允许用户将CDN的请求日志导出至Cloud Logging，便于进行流量分析、性能监控和安全审计。参考 [Cloud CDN logging](https://cloud.google.com/cdn/docs/logging)。 ### Cloud Interconnect - **文档位置变更:** Cloud Interconnect 的公开文档已迁移至新的 [Network Connectivity page](https://cloud.google.com/network-connectivity/docs) 页面下，以统一网络连接产品的文档入口。 ### Cloud VPN - **文档位置变更:** Cloud VPN 的公开文档已迁移至新的 [Network Connectivity page](https://cloud.google.com/network-connectivity/docs) 页面。 - **支持组织策略限制对等IP:** 新增一项组织级策略，允许管理员限制可以通过Cloud VPN隧道连接的对等IP地址，增强了连接的安全性与合规性。参考 [an org-level policy](https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview#vpn-org-policy)。 - **新增可用区域:** Cloud VPN 服务现已在印度尼西亚雅加达 (`asia-southeast2`) [region](https://cloud.google.com/compute/docs/regions-zones#available) 上线。价格信息请见 [Cloud VPN pricing page](https://cloud.google.com/network-connectivity/docs/vpn/pricing)。 ### Cloud Router - **文档位置变更:** Cloud Router 的公开文档已迁移至新的 [Network Connectivity page](https://cloud.google.com/network-connectivity/docs) 页面。 ### Anthos Service Mesh (ASM) - **发布新版本及安全修复:** 发布了 `1.6.4-asm.9`、`1.5.7-asm.0` 和 `1.4.10-asm.3` 等多个版本，修复了多个高危安全漏洞（如 `ISTIO-SECURITY-2020-007` 和 `CVE-2020-11080`），这些漏洞可能导致拒绝服务 (DoS) 攻击。 - **与 Istio 1.6 对齐:** ASM 1.6 版本与上游开源项目 Istio 1.6 的功能集保持兼容。参考 [Istio release notes](https://istio.io/latest/news/releases/1.6.x/announcing-1.6/)。 - **支持双控制平面无停机升级:** 从 ASM 1.5 升级到 1.6 版本时，可采用 [dual control plane upgrade](https://istio.io/latest/blog/2020/multiple-control-planes/) 模式，确保数据平面流量不受影响，实现平滑升级。 - **多集群网格功能增强 (Beta):** - 支持跨集群安全策略和跨集群负载均衡，简化了在 GKE 上部署 [multi-cluster mesh](https://cloud.google.com/service-mesh/docs/gke-install-multi-cluster) 的管理复杂性。 - 在 Cloud Console 中提供了统一的多集群服务视图。 - **扩展对其他云平台的支持:** ASM 1.6 支持在 **Anthos Attached Clusters** 模式下运行于 **Amazon EKS** 和 **Microsoft AKS**，进一步强化了其多云管理能力。 - **安装配置文件重命名:** GKE 的安装配置文件从 `asm` 重命名为 `asm-gcp`，GKE on-prem 的配置文件从 `asm-onprem` 重命名为 `asm-multicloud`。 ## 重点更新分析 1. **Anthos Service Mesh 1.6 发布与多云能力扩展:** 本月最大亮点是 ASM 1.6 的发布，这不仅仅是一次版本更新，更是GCP多云战略的关键一步。 - **技术价值:** 通过与 Istio 1.6 对齐，ASM 获得了最新的服务网格功能。**双控制平面升级** 机制解决了生产环境升级的痛点，显著提升了可用性。**跨集群安全策略** 和 **负载均衡** 功能的引入，使得构建和管理跨越多个Kubernetes集群的复杂应用架构成为可能，这是实现真正意义上的多云服务治理的核心技术。 - **业务影响:** 支持将 **Amazon EKS** 和 **Microsoft AKS** 集群附加到 Anthos 中进行统一管理，极大地扩展了 Anthos 的适用范围。这使得企业可以在不改变现有云基础设施的情况下，利用GCP的控制平面来统一管理其在不同云上的服务，有力地支撑了企业的混合云和多云战略，是GCP区别于其他云厂商的核心竞争力之一。 2. **分层防火墙策略 (Hierarchical Firewall Policies):** 这是GCP在网络安全治理方面的一项重要功能发布（Beta）。 - **技术价值:** 传统VPC防火墙规则作用于单个VPC网络，管理分散。分层防火墙策略则在 **组织 (Organization)** 或 **文件夹 (Folder)** 层面定义规则，并强制继承到下属所有项目中。这种 **自上而下** 的策略模型，确保了基础安全策略的一致性，防止因项目级配置失误导致的安全漏洞。 - **业务影响:** 对于大型企业而言，该功能极大地简化了安全合规管理。安全团队可以设定全局性的“安全护栏”（例如，禁止公网访问SSH端口），而项目团队则在此基础上配置更具体的业务规则。这实现了安全、合规与业务敏捷性之间的平衡，是企业级云平台成熟度的重要体现。 ## 趋势洞察 - **强化集中式企业治理:** 本月发布的 **分层防火墙策略** 和 **Cloud VPN 组织策略** 都指向一个明确趋势：GCP正在不断强化其平台级的集中管控能力。这满足了大型企业客户对于跨项目、跨部门的统一安全、合规和网络策略管理的核心诉求。 - **深化混合云与多云战略:** Anthos Service Mesh 的密集更新，特别是对多集群管理和对AWS/Azure集群的支持，表明GCP正全力将Anthos打造为业界领先的混合云与多云应用管理平台。GCP的策略不仅仅是提供多云连接，而是将控制平面延伸至其他云，实现统一的应用部署、运维和治理。   # GCP网络服务月度更新 - 2020-06 **发布时间:** 2020-06-01 **厂商:** Google Cloud Platform **产品线:** 网络服务 **类型:** 月度更新汇总 **产品数量:** 6 个 **总更新数量:** 25 条 --- ## 产品更新概览 | 产品 | 更新数量 | 主要更新内容 | | --- | --- | --- | | VPC | 3条 | 防火墙规则日志记录元数据控制...; 为自动模式 VPC 网络新增...; 分层防火墙策略现已... | | Cloud CDN | 1条 | 支持 Cloud CDN 日志记录的 HTTP(S) 负载均衡... | | Cloud Interconnect | 1条 | Cloud Interconnect 的公开文档... | | Cloud VPN | 3条 | Cloud VPN 的公开文档...; Cloud VPN 现已支持组织级政策...; Cloud VPN 现已在 asia-... 区域可用 | | ROUTER | 1条 | Cloud Router 的公开文档... | | SERVICE-MESH | 16条 | 1.5.7-asm.0 和 1.4.10-asm.3 修复了安全问题...; 1.6.4-asm.9 现已发布。; ASM 1.6 兼容并具备... 等16项更新 | --- ## VPC 产品更新 **更新数量:** 3 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | Firewall Rules Logging metadata controlsis now ava | Feature | 2020-06-12 | | 2 | For auto mode VPC networks, added a new subnet10.1 | Feature | 2020-06-08 | | 3 | Hierarchical firewall policiesare now available in | Feature | 2020-06-03 | ### 详细更新内容 #### 1. Firewall Rules Logging metadata controlsis now available inBeta. **发布日期:** 2020-06-12 **更新类型:** Feature **功能描述:** 防火墙规则日志记录 (Firewall Rules Logging) 的元数据控制功能现已推出 Beta 版。 **相关文档:** - [Firewall Rules Logging metadata controls](https://cloud.google.com/vpc/docs/firewall-rules-logging#log-format) --- #### 2. For auto mode VPC networks, added a new subnet10.184.0.0/20for the Jakartaasia-s **发布日期:** 2020-06-08 **更新类型:** Feature **功能描述:** 针对自动模式 VPC 网络，为雅加达 (Jakarta) asia-southeast2 区域新增了子网 10.184.0.0/20。更多信息请参阅自动模式 IP 范围。 **相关文档:** - [Auto mode IP ranges](https://cloud.google.com/vpc/docs/vpc#ip-ranges) --- #### 3. Hierarchical firewall policiesare now available inBeta. **发布日期:** 2020-06-03 **更新类型:** Feature **功能描述:** 分层防火墙策略 (Hierarchical firewall policies) 现已推出 Beta 版。 **相关文档:** - [Hierarchical firewall policies](https://cloud.google.com/vpc/docs/firewall-policies) --- ## Cloud CDN 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | HTTP(S) Load Balancing withCloud CDN loggingis ava | Feature | 2020-06-10 | ### 详细更新内容 #### 1. HTTP(S) Load Balancing withCloud CDN loggingis available inGeneral Availability. **发布日期:** 2020-06-10 **更新类型:** Feature **功能描述:** 支持 Cloud CDN 日志记录的 HTTP(S) 负载均衡 (HTTP(S) Load Balancing) 功能现已正式发布 (General Availability)。 **相关文档:** - [Cloud CDN logging](https://cloud.google.com/cdn/docs/logging) --- ## Cloud Interconnect 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | The public documentation for Cloud Interconnect is | Change | 2020-06-16 | ### 详细更新内容 #### 1. The public documentation for Cloud Interconnect is now located under theNetwork **发布日期:** 2020-06-16 **更新类型:** Change **功能描述:** Cloud Interconnect 的公开文档现已迁移至网络连接 (Network Connectivity) 页面下。 **相关文档:** - [Network Connectivity page](https://cloud.google.com/network-connectivity/docs) --- ## Cloud VPN 产品更新 **更新数量:** 3 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | The public documentation for Cloud VPN is now loca | Change | 2020-06-16 | | 2 | Cloud VPN now supportsan org-level policythat res | Feature | 2020-06-15 | | 3 | Cloud VPN is now available inregionasia-southeast2 | Feature | 2020-06-08 | ### 详细更新内容 #### 1. The public documentation for Cloud VPN is now located under theNetwork Connectiv **发布日期:** 2020-06-16 **更新类型:** Change **功能描述:** Cloud VPN 的公开文档现已迁移至网络连接 (Network Connectivity) 页面下。 **相关文档:** - [Network Connectivity page](https://cloud.google.com/network-connectivity/docs) --- #### 2. Cloud VPN now supportsan org-level policythat restricts peer IP addresses throu **发布日期:** 2020-06-15 **更新类型:** Feature **功能描述:** Cloud VPN 现已支持一项组织级政策，该政策可用于限制通过 Cloud VPN 隧道连接的对等 IP 地址。 **相关文档:** - [an org-level policy](https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview#vpn-org-policy) --- #### 3. Cloud VPN is now available inregionasia-southeast2 (Jakarta, Indonesia).Pricing **发布日期:** 2020-06-08 **更新类型:** Feature **功能描述:** Cloud VPN 现已在 asia-southeast2 (印度尼西亚，雅加达) 区域可用。价格信息请参阅 Cloud VPN 定价页面。 **相关文档:** - [region](https://cloud.google.com/compute/docs/regions-zones#available) - [Cloud VPN pricing page](https://cloud.google.com/network-connectivity/docs/vpn/pricing) --- ## ROUTER 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | The public documentation for Cloud Router is now l | Change | 2020-06-16 | ### 详细更新内容 #### 1. The public documentation for Cloud Router is now located under theNetwork Connec **发布日期:** 2020-06-16 **更新类型:** Change **功能描述:** Cloud Router 的公开文档现已迁移至网络连接 (Network Connectivity) 页面下。 **相关文档:** - [Network Connectivity page](https://cloud.google.com/network-connectivity/docs) --- ## SERVICE-MESH 产品更新 **更新数量:** 16 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 1.5.7-asm.0 and 1.4.10-asm.3Fixes the security iss | Fixed | 2020-06-30 | | 2 | 1.6.4-asm.9 is now available. | Feature | 2020-06-30 | | 3 | ASM 1.6 is compatible with and has the feature set | Feature | 2020-06-30 | | 4 | Upgrade from ASM 1.5 to ASM 1.6 without downtime u | Feature | 2020-06-30 | | 5 | In theasm-multicloudprofile, ASM now installs a co | Feature | 2020-06-30 | | 6 | Anthos Service Mesh now supports cross-cluster sec | Feature | 2020-06-30 | | 7 | Support for cross-cluster load balancing (beta) fo | Feature | 2020-06-30 | | 8 | The profile to install ASM in GKE has been renamed | Change | 2020-06-30 | | 9 | Users that configure multiple clusters in their me | Feature | 2020-06-30 | | 10 | Anthos Service Mesh now supports multi-cluster mes | Feature | 2020-06-30 | | 11 | New installation guides:Installing Anthos Service | Feature | 2020-06-30 | | 12 | ASM 1.6 is supported in a single cluster configura | Feature | 2020-06-30 | | 13 | Known Issue: If you upgrade from Istio to ASM 1.6 | Breaking | 2020-06-30 | | 14 | 1.5.6-asm.0 and 1.4.10.asm.2Contains the same fixe | Fixed | 2020-06-22 | | 15 | 1.5.5-asm.2Fixes a bug in theistioctlHorizontalPod | Fixed | 2020-06-15 | | 16 | 1.5.5-asm.0 and 1.4.10-asm.1Fixes the security iss | Fixed | 2020-06-11 | ### 详细更新内容 #### 1. 1.5.7-asm.0 and 1.4.10-asm.3Fixes the security issue,ISTIO-SECURITY-2020-007, wi **发布日期:** 2020-06-30 **更新类型:** Fixed **功能描述:** 1.5.7-asm.0 和 1.4.10-asm.3 修复了安全问题 ISTIO-SECURITY-2020-007，其修复内容与 Istio 1.6.4 相同。更多信息请参阅 Istio 版本说明。 **描述** 该漏洞影响 Anthos Service Mesh (ASM) 1.4.0 至 1.4.10、1.5.0 至 1.5.5 以及 1.6.4 版本，无论其运行在 Anthos clusters on VMware 还是 GKE 上，都可能使您的应用程序面临拒绝服务 (Denial of Service, DOS) 攻击的风险。该漏洞在以下公开的 Istio 安全公告中被引用： ISTIO-SECURITY-2020-007: - CVE-2020-12603 (CVSS 评分为 7.0，高危): Envoy 1.14.1 及更早版本在代理包含许多小型 (例如 1 字节) 数据帧的 HTTP/2 请求或响应时，可能会消耗过多内存。 - CVE-2020-12605 (CVSS 评分为 7.0，高危): Envoy 1.14.1 及更早版本在处理具有长字段名的 HTTP/1.1 标头或具有长 URL 的请求时，可能会消耗过多内存。 - CVE-2020-8663 (CVSS 评分为 7.0，高危): Envoy 1.14.1 及更早版本在接受过多连接时，可能会耗尽文件描述符和/或内存。 - CVE-2020-12604 (CVSS 评分为 7.0，高危): Envoy 1.14.1 及更早版本在 HTTP/2 客户端请求一个大型有效载荷但未发送足够的窗口更新来消费整个流，并且不重置流的情况下，容易导致内存使用量增加。攻击者可能导致与许多流相关的数据被永久缓冲。 **缓解措施** 如果您使用 ASM 1.6.4: - 应用 ISTIO-SECURITY-2020-007 中指定的额外配置更改，以防止对您的网格进行拒绝服务 (DOS) 攻击。如果您使用 ASM 1.4.0 至 1.4.10 或 1.5.0 至 1.5.5: - 尽快将您的集群升级到 ASM 1.4.10-asm.3 或 ASM 1.5.7-asm.0，并应用 ISTIO-SECURITY-2020-007 中指定的额外配置更改，以防止对您的网格进行拒绝服务 (DOS) 攻击。请参阅以下文档了解如何升级您的 Anthos Service Mesh。 ASM 1.5 for GKE 和 on-premises 分别对应： - [升级 GKE 上的 Anthos Service Mesh](https://cloud.google.com/service-mesh/docs/upgrading-gke) - [升级本地环境的 Anthos Service Mesh](https://cloud.google.com/service-mesh/docs/gke-on-prem-upgrading) ASM 1.4 for GKE 和 on-premises 分别对应： - [升级 GKE 上的 Anthos Service Mesh](https://cloud.google.com/service-mesh/docs/archive/1.4/docs/upgrading-gke-1-4) - [升级本地环境的 Anthos Service Mesh](https://cloud.google.com/service-mesh/docs/archive/1.4/docs/gke-on-prem-upgrading-1-4) **相关文档:** - [ISTIO-SECURITY-2020-007](https://istio.io/latest/news/security/istio-security-2020-007/) - [Istio release notes](https://istio.io/latest/news/releases/1.6.x/announcing-1.6.4/) - [ISTIO-SECURITY-2020-007](https://istio.io/news/security/istio-security-2020-007/) - [ISTIO-SECURITY-2020-007](https://istio.io/latest/news/security/istio-security-2020-007/) - [ISTIO-SECURITY-2020-007](https://istio.io/latest/news/security/istio-security-2020-007/) - [Upgrading Anthos Service Mesh on GKE](https://cloud.google.com/service-mesh/docs/upgrading-gke) - [Upgrading Anthos Service Mesh on-prem](https://cloud.google.com/service-mesh/docs/gke-on-prem-upgrading) - [Upgrading Anthos Service Mesh on GKE](https://cloud.google.com/service-mesh/docs/archive/1.4/docs/upgrading-gke-1-4) - [Upgrading Anthos Service Mesh on-prem](https://cloud.google.com/service-mesh/docs/archive/1.4/docs/gke-on-prem-upgrading-1-4) --- #### 2. 1.6.4-asm.9 is now available. **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 1.6.4-asm.9 现已发布。 --- #### 3. ASM 1.6 is compatible with and has the feature set of Istio 1.6 (seeIstio releas **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** ASM 1.6 兼容 Istio 1.6 并具备其功能集 (参见 Istio 版本说明)，具体支持情况请遵循 ASM 支持的功能列表。 **相关文档:** - [Istio release notes](https://istio.io/latest/news/releases/1.6.x/announcing-1.6/) - [ASM Supported Features](https://cloud.google.com/service-mesh/docs/supported-features) --- #### 4. Upgrade from ASM 1.5 to ASM 1.6 without downtime using adual control plane upgra **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 支持使用双控制平面升级 (dual control plane upgrade) 方式从 ASM 1.5 升级到 ASM 1.6，实现无停机升级。 **相关文档:** - [dual control plane upgrade](https://istio.io/latest/blog/2020/multiple-control-planes/) --- #### 5. In theasm-multicloudprofile, ASM now installs a complete observability stack (Pr **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 在 `asm-multicloud` 配置文件中，ASM 现在会安装一个完整的可观测性堆栈 (observability stack) (Prometheus、Grafana 和 Kiali)。 --- #### 6. Anthos Service Mesh now supports cross-cluster security policies (beta) for your **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 当在 GKE on Google Cloud 上运行时，Anthos Service Mesh 现已为您的多集群网格 (multi-cluster mesh) 提供跨集群安全策略 (beta 版) 支持。 **相关文档:** - [multi-cluster mesh](https://cloud.google.com/service-mesh/docs/gke-install-multi-cluster) --- #### 7. Support for cross-cluster load balancing (beta) for yourmulti-cluster meshfor GK **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 为 GKE on Google Cloud 上的多集群网格 (multi-cluster mesh) 提供跨集群负载均衡 (beta 版) 支持。 **相关文档:** - [multi-cluster mesh](https://cloud.google.com/service-mesh/docs/gke-install-multi-cluster) --- #### 8. The profile to install ASM in GKE has been renamed fromasmtoasm-gcp, seeUpgradin **发布日期:** 2020-06-30 **更新类型:** Change **功能描述:** 用于在 GKE 中安装 ASM 的配置文件已从 `asm` 重命名为 `asm-gcp`，请参阅升级 GKE 上的 Anthos Service Mesh。用于在 GKE on-premise 集群中安装 ASM 的配置文件已从 `asm-onprem` 重命名为 `asm-multicloud`，请参阅升级本地环境的 Anthos Service Mesh。 **相关文档:** - [Upgrading Anthos Service Mesh on GKE](https://cloud.google.com/service-mesh/docs/upgrading-gke) - [Upgrading Anthos Service Mesh on premises](https://cloud.google.com/service-mesh/docs/gke-on-prem-upgrading) --- #### 9. Users that configure multiple clusters in their mesh can now see unified, multi- **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 在网格中配置了多个集群的用户现在可以在 Cloud Console 的 Anthos Service Mesh 页面中看到其服务的统一多集群视图。请注意，多集群支持处于 Beta 阶段，并非所有 UI 功能都在多集群模式下受支持。 --- #### 10. Anthos Service Mesh now supports multi-cluster meshes (beta) when running on GKE **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 当在 GKE on Google Cloud 上运行时，Anthos Service Mesh 现已支持多集群网格 (beta 版)。 --- #### 11. New installation guides:Installing Anthos Service Mesh on attached clustersandAd **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** 新增安装指南：在附加集群上安装 Anthos Service Mesh 和向 Anthos Service Mesh 添加集群。 **相关文档:** - [Installing Anthos Service Mesh on attached clusters](https://cloud.google.com/service-mesh/docs/attached-clusters-install) - [Adding clusters to an Anthos Service Mesh](https://cloud.google.com/service-mesh/docs/gke-install-multi-cluster) --- #### 12. ASM 1.6 is supported in a single cluster configuration in Anthos Attached Cluste **发布日期:** 2020-06-30 **更新类型:** Feature **功能描述:** ASM 1.6 在 Anthos 附加集群 (Anthos Attached Clusters) 的单集群配置中受支持，适用于以下环境：Amazon Elastic Kubernetes Service (EKS) 和 Microsoft Azure Kubernetes Service (AKS)。 --- #### 13. Known Issue: If you upgrade from Istio to ASM 1.6 and have set SLOs on your serv **发布日期:** 2020-06-30 **更新类型:** Breaking **功能描述:** 已知问题：如果您从 Istio 升级到 ASM 1.6，并且已在服务指标上设置了服务等级目标 (SLO)，这些 SLO 可能会丢失，需要在升级后重新创建。 --- #### 14. 1.5.6-asm.0 and 1.4.10.asm.2Contains the same fixes as OSS Istio 1.5.6. Non-crit **发布日期:** 2020-06-22 **更新类型:** Fixed **功能描述:** 1.5.6-asm.0 和 1.4.10.asm.2 包含与开源 Istio 1.5.6 相同的修复。一些非关键的次要改进也已向后移植到 ASM 1.4.10。更多信息请参阅 Istio 1.5.6 发布公告。 **相关文档:** - [Announcing Istio 1.5.6](https://istio.io/latest/news/releases/1.5.x/announcing-1.5.6/) --- #### 15. 1.5.5-asm.2Fixes a bug in theistioctlHorizontalPodAutoscalingsetting that caused **发布日期:** 2020-06-15 **更新类型:** Fixed **功能描述:** 1.5.5-asm.2 修复了 `istioctl` 中 `HorizontalPodAutoscaling` 设置的一个错误，该错误导致 Anthos Service Mesh 安装失败。 --- #### 16. 1.5.5-asm.0 and 1.4.10-asm.1Fixes the security issue, CVE-2020-11080, with the s **发布日期:** 2020-06-11 **更新类型:** Fixed **功能描述:** 1.5.5-asm.0 和 1.4.10-asm.1 修复了安全问题 CVE-2020-11080，其修复内容与开源 Istio 1.5.5 相同。安全修复已向后移植到 ASM 1.4.10。 **描述** 一个影响 Envoy 使用的 HTTP/2 库的漏洞已被修复并公开披露 (参见：拒绝服务：过大的 SETTINGS 帧)。 CVE-2020-11080: 攻击者可以通过发送一个特制的数据包，导致 CPU 使用率飙升至 100%。该数据包可以发送到入站网关 (ingress gateway) 或边车 (sidecar)。 **缓解措施** 作为临时解决方案，可以通过以下配置在入站网关上禁用 HTTP/2 支持。只有当您没有通过入站网关暴露无法回退到 HTTP/1.1 的 HTTP/2 服务时，才能禁用入站的 HTTP/2 支持。请注意，gRPC 服务无法回退到 HTTP/1.1。 ``` apiVersion:networking.istio.io/v1alpha3 kind:EnvoyFilter metadata: name:disable-ingress-h2 namespace:istio-system spec: workloadSelector: labels: istio:ingressgateway configPatches: -applyTo:NETWORK_FILTER # http connection manager is a filter in Envoy match: context:GATEWAY listener: filterChain: filter: name:"envoy.http_connection_manager" patch: operation:MERGE value: typed_config: "@type":type.googleapis.com/envoy.config.filter.network.http_connection_manager.v2.HttpConnectionManager codec_type:HTTP1 ``` 更多信息请参阅 ISTIO-SECURITY-2020-006。 **相关文档:** - [OSS Istio 1.5.5](https://istio.io/news/releases/1.5.x/announcing-1.5.5/) - [CVE-2020-11080](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11080) - [ISTIO-SECURITY-2020-006](https://istio.io/news/security/istio-security-2020-006) --- ## 数据来源本文档内容来源于GCP官方Release Notes页面，具体更新详情请访问: - https://cloud.google.com/cdn/docs/release-notes - https://cloud.google.com/network-connectivity/docs/interconnect/release-notes - https://cloud.google.com/network-connectivity/docs/router/release-notes - https://cloud.google.com/network-connectivity/docs/vpn/release-notes - https://cloud.google.com/service-mesh/docs/release-notes - https://cloud.google.com/vpc/docs/release-notes **生成时间:** 2025-12-22 10:55:23