GCP 网络服务 2021 年 6 月更新

**发布时间:** 2021-06-01 **厂商:** Google Cloud Platform **类型:** 月度更新汇总 ---  GCP 网络服务 2021 年 6 月更新   # 月度更新概览 ## 更新总览 2021年6月，Google Cloud Platform (GCP) 针对其网络服务产品线发布了42项更新，涉及8个核心产品。本次更新的重点在于增强企业级连接性、提升服务管理自动化水平、引入现代网络协议以及强化安全能力。其中，**VPC** 和 **Anthos Service Mesh** 的更新数量最多，分别达到了20项和11项，显示出GCP在这两个领域的重点投入。 ## 各产品更新详情 ### VPC - **Private Service Connect** 迎来密集更新，包括正式发布（GA）服务发布与访问功能，并修复了大量相关问题，旨在简化和稳定跨VPC的服务消费模型。这是一个关键的企业级功能，允许服务提供商以私密、安全的方式向消费者暴露服务。 - **Bring your own IP (BYOIP)** 功能正式发布（GA）。该功能允许客户将自己的公有IP地址段带到GCP使用，对于需要维持IP声誉或有特定IP地址依赖的客户至关重要。 - **自动模式VPC网络** 持续扩展，为德里（`asia-south2`）和墨尔本（`australia-southeast2`）区域增加了新的子网，简化了新区域的网络初始化配置。 - 改进了 **私有服务访问连接** 的删除流程，现在删除连接时会自动移除由服务生产者（如Cloud SQL）创建的配置，提升了管理效率。相关文档：[Deleting a private services access connection](https://cloud.google.com/vpc/docs/configure-private-services-access#removing-connection)。 ### Cloud Load Balancing - **外部HTTP(S)负载均衡器** 现已支持 **HTTP/3** 协议。**HTTP/3** 基于 **QUIC** 传输协议，相比HTTP/2能有效减少延迟、缓解队头阻塞问题，显著提升现代Web应用的性能。相关文档：[Enabling HTTP/3](https://cloud.google.com/load-balancing/docs/https#QUIC)。 - **内部TCP/UDP负载均衡器** 的 **对称哈希** 功能正式发布（GA）。此功能确保同一数据流的双向流量哈希到同一个后端，从而在后端为多NIC（网络接口卡）实例时无需配置源地址转换（SNAT），简化了网络虚拟设备（NVA）等场景的部署架构。 - **网络负载均衡器** （Backend Service-based）增加了对 **ESP** 和 **ICMP** 协议的支持（预览版），使其能够转发IPsec VPN流量和其他非TCP/UDP流量，扩展了其应用场景。相关文档：[Forwarding rule protocols](https://cloud.google.com/load-balancing/docs/network/networklb-backend-service#forwarding-rule-protocols)。 ### Cloud CDN - 与负载均衡更新联动，**Cloud CDN** 现已支持 **HTTP/3** 协议，通过GCP的全球边缘网络为用户提供更快的内内容分发。 ### Cloud VPN - 服务范围扩展至德里（`asia-south2`）和墨尔本（`australia-southeast2`）两个新区域。 - 推出 **VPN隧道利用率推荐器**。该功能可以主动监测VPN隧道的使用情况，并在出现过度利用风险时提供建议，帮助管理员进行容量规划和预防性维护。 ### Network Connectivity Center - 更新了 **Router appliance spoke** 的管理方式，现在修改实例配置需要删除并重建spoke，这可能在一定程度上增加了管理复杂度。 - 存在一个已知问题：当 **Router appliance spoke** 连接的虚拟机超过1000个时，BGP会话可能无法建立。 ### Cloud Armor - 增加了对POST请求体中 **JSON内容解析** 的支持。这一功能使得 **WAF** 规则可以检查API请求的JSON载荷，极大地增强了对现代API驱动型应用的防护能力。 ### Cloud Router - 新增了对BGP会话的精细化管理能力，包括独立启用/禁用BGP会话以及更新BGP **keepalive** 间隔，为网络运维人员提供了更高的灵活性和控制力。相关文档：[Enabling and disabling BGP sessions](https://cloud.google.com/network-connectivity/docs/router/how-to/terminating-bgp)。 ### Anthos Service Mesh - **Google管理的控制平面** 正式发布（GA）。用户可以将 **Istiod** 的管理工作完全托管给Google，从而免去控制平面的部署、扩缩容和维护烦恼，极大地降低了服务网格的入门门槛和运维成本。 - **用户身份验证** 功能正式发布（GA），允许将服务网格与外部身份提供商（IDP）集成，实现基于最终用户身份的访问控制。 - **Mesh CA** （Anthos Service Mesh证书颁发机构）现已支持在本地环境（Anthos clusters on-premises）部署，统一了混合云环境下的证书管理体系。 - 发布了多个版本更新（1.10.2-asm.3, 1.9.6-asm.1等），修复了安全漏洞（[CVE-2021-34824](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34824)）和已知问题，并提供了从Istio CA到Mesh CA的平滑迁移路径。 ## 重点更新分析 1. **Anthos Service Mesh - Google管理的控制平面GA** - **技术价值**: 这是本次更新中最具战略意义的一项。它将服务网格的核心组件 **Istiod** 从用户管理的 **数据平面** 资源中剥离，转变为一个由Google负责维护的 **SaaS化控制平面**。这与GKE托管控制平面的理念一脉相承，解决了社区版Istio最为人诟病的运维复杂性问题。 - **业务影响**: 大幅降低了企业采用服务网格的门槛。团队无需再投入资源去维护控制平面的高可用、安全和版本升级，可以更专注于业务逻辑和应用层的策略配置。这使得服务网格从一个需要专业团队维护的复杂基础设施，转变为一个更易于消费的云原生网络服务。 2. **Cloud Load Balancing & CDN 支持 HTTP/3** - **技术价值**: **HTTP/3** 采用基于UDP的 **QUIC** 协议，解决了TCP的队头阻塞问题，并集成了TLS 1.3，实现了更快的连接建立和更强的安全性。GCP在其全球负载均衡和CDN产品中率先支持此协议，体现了其在网络性能和前沿技术应用上的领先地位。 - **业务影响**: 对于网站、移动应用和API服务而言，启用HTTP/3可以直接转化为更快的页面加载速度和更低的用户访问延迟，尤其是在网络条件不佳的环境下，性能提升更为明显。这将直接改善终端用户体验，提升用户留存率和转化率。 3. **VPC - Private Service Connect 和 BYOIP 功能GA** - **技术价值**: **Private Service Connect** 提供了一种非侵入式的私有服务连接模型，消费者无需与服务商进行VPC Peering，也无需关心IP地址冲突，通过类似内部负载均衡器的端点即可访问服务，架构上更为解耦和安全。**BYOIP** 则解决了企业在IP资产管理上的痛点。 - **业务影响**: 这两个功能的结合，极大地增强了GCP对大型企业客户的吸引力。企业可以平滑地将其现有的IP地址策略迁移至云上，并通过 **Private Service Connect** 构建安全、可扩展的多租户SaaS服务或内部服务共享平台，满足了严格的合规性和网络隔离要求。 ## 趋势洞察 - **全面拥抱“托管化”与“自动化”**: 从ASM的托管控制平面到VPN的利用率推荐器，GCP正致力于将复杂的底层基础设施管理工作从用户侧剥离，通过提供更智能、更自动化的托管服务来降低云的使用和运维成本。 - **深化企业级网络能力**: 密集更新 **Private Service Connect** 并发布 **BYOIP**，表明GCP正在持续加固其在企业级网络市场中的地位，专注于解决大型企业在混合云、多VPC环境下的核心网络诉求。 - **引领下一代网络协议**: 对 **HTTP/3** 的快速支持，显示出GCP希望通过技术创新来构建其核心竞争力，为客户提供极致的网络性能体验。   # GCP网络服务月度更新 - 2021-06 **发布时间:** 2021-06-01 **厂商:** Google Cloud Platform **产品线:** 网络服务 **类型:** 月度更新汇总 **产品数量:** 8 个 **总更新数量:** 42 条 --- ## 产品更新概览 | 产品 | 更新数量 | 主要更新内容 | | --- | --- | --- | | VPC | 20条 | 删除私有服务访问连接现在也会移除相关配置; 修复了 Private Service Connect 端点的非 RFC 1918 地址的计费问题; 为自动模式 VPC 网络新增子网等20项更新 | | Cloud Load Balancing | 3条 | 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3; 内部 TCP/UDP 负载均衡器作为下一跳时支持对称哈希; 网络负载均衡现已支持对 ESP 和 ICMP 流量进行负载均衡 | | Cloud CDN | 1条 | 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3 | | Cloud VPN | 3条 | Cloud VPN 现已在 `asia-south2` 区域可用; Cloud VPN 现已在 `australia-southeast2` 区域可用; 您可以使用 VPN 隧道利用率推荐器检查隧道是否超负荷 | | Network Connectivity Center | 2条 | 不再支持向现有 Spoke 添加或移除路由器设备实例; 使用路由器设备 Spoke 连接超过 1000 个虚拟机时可能出现问题 | | Cloud Armor | 1条 | Google Cloud Armor 现已支持解析 POST 请求体中的 JSON 内容 | | ROUTER | 1条 | Cloud Router 现已支持启用/禁用 BGP 会话及更新 BGP keepalive 间隔 | | SERVICE-MESH | 11条 | 1.10.2-asm.3 版本已发布，修复了已知问题; Anthos Service Mesh 用户身份验证功能正式发布; 1.10 版本中存在一项关于入站转发的重大变更等11项更新 | --- ## VPC 产品更新 **更新数量:** 20 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 删除私有服务访问连接现在也会移除由服务提供商创建的配置 | 新功能 | 2021-06-30 | | 2 | 修复了 Private Service Connect 端点的非 RFC 1918 地址的计费问题 | 问题修复 | 2021-06-30 | | 3 | 为自动模式 VPC 网络在德里 `asia-south2` 区域新增 `10.190.0.0/20` 子网 | 新功能 | 2021-06-29 | | 4 | 使用 Private Service Connect 端点时，超出限制的端点状态无法自动更新 | 已知问题 | 2021-06-23 | | 5 | 使用 Private Service Connect 端点时，短时间内删除多个端点可能失败 | 已知问题 | 2021-06-23 | | 6 | 为自动模式 VPC 网络在墨尔本 `australia-southeast2` 区域新增 `10.192.0.0/20` 子网 | 新功能 | 2021-06-21 | | 7 | 修复了 Private Service Connect 端点在特定情况下无响应的问题 | 问题修复 | 2021-06-16 | | 8 | 自带 IP (BYOIP) 功能现已正式发布 | 新功能 | 2021-06-15 | | 9 | 创建服务连接后启用或禁用 PROXY 协议的配置不生效 | 已知问题 | 2021-06-14 | | 10 | 修复了为 Private Service Connect 服务连接启用 PROXY 协议后的标头值问题 | 问题修复 | 2021-06-09 | | 11 | 修复了控制台中 Private Service Connect 已发布服务选项卡的显示问题 | 问题修复 | 2021-06-04 | | 12 | 修复了删除消费者端点后服务连接详情未正确更新的问题 | 问题修复 | 2021-06-04 | | 13 | 使用 Private Service Connect 发布和访问服务的功能进入预览版 | 新功能 | 2021-06-02 | | 14 | 若服务引用的负载均衡器没有后端虚拟机，可能导致消费者端点无响应 | 已知问题 | 2021-06-02 | | 15 | 使用 PATCH API 方法更新 Private Service Connect 服务连接时需提供所有值 | 已知问题 | 2021-06-02 | | 16 | 控制台中 Private Service Connect 已发布服务选项卡无法显示服务连接 | 已知问题 | 2021-06-02 | | 17 | 在共享 VPC 网络中创建 Private Service Connect 端点时，必须在同一项目中创建 | 已知问题 | 2021-06-02 | | 18 | 为 Private Service Connect 服务连接启用 PROXY 协议时，标头值可能不固定 | 已知问题 | 2021-06-02 | | 19 | 删除消费者端点后，服务连接详情中未反映此变更 | 已知问题 | 2021-06-02 | | 20 | Private Service Connect 服务连接详情中消费者端点的状态始终显示为 Accepted | 已知问题 | 2021-06-02 | ### 详细更新内容 #### 1. 删除私有服务访问连接现在也会移除由服务提供商创建的配置 **发布日期:** 2021-06-30 **更新类型:** 新功能 **功能描述:** 删除私有服务访问连接 (private services access connection) 现在也会一并移除由服务提供商 (例如 Cloud SQL) 创建的配置。改进后的删除流程简化了管理操作，方便您在删除后重新创建连接。该功能现已正式发布 (General Availability)。 **相关文档:** - [删除私有服务访问连接](https://cloud.google.com/vpc/docs/configure-private-services-access#removing-connection) --- #### 2. 修复了 Private Service Connect 端点的非 RFC 1918 地址的计费问题 **发布日期:** 2021-06-30 **更新类型:** 问题修复 **功能描述:** 用于访问 Google API 和服务的 Private Service Connect 端点 (endpoint) 的非 RFC 1918 地址计费问题已修复。 **相关文档:** - [Private Service Connect 端点的非 RFC 1918 地址](https://cloud.google.com/vpc/docs/configure-private-service-connect-apis#ip-address-requirements) --- #### 3. 为自动模式 VPC 网络在德里 `asia-south2` 区域新增 `10.190.0.0/20` 子网 **发布日期:** 2021-06-29 **更新类型:** 新功能 **功能描述:** 对于自动模式 (auto mode) VPC 网络，已为德里 (Delhi) `asia-south2` 区域新增 `10.190.0.0/20` 子网。更多信息请参阅自动模式 IP 范围。 **相关文档:** - [自动模式 IP 范围](https://cloud.google.com/vpc/docs/vpc#ip-ranges) --- #### 4. 使用 Private Service Connect 端点访问另一 VPC 中的服务时的问题 **发布日期:** 2021-06-23 **更新类型:** 已知问题 **功能描述:** 如果您使用 Private Service Connect 端点访问另一个 VPC 网络中的服务，并且创建的端点数量超过了服务提供商设置的限制，那么超出限制后创建的任何端点状态都会如预期般显示为 `Pending`。但是，即使您移除一些端点使数量低于限制，这些处于 `Pending` 状态的端点也不会变为 `Accepted`。 **相关文档:** - [Private Service Connect 端点](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#create-endpoint) --- #### 5. 使用 Private Service Connect 端点访问另一 VPC 中的服务时的问题 **发布日期:** 2021-06-23 **更新类型:** 已知问题 **功能描述:** 如果您使用 Private Service Connect 端点访问另一个 VPC 网络中的服务，并在短时间内删除多个端点，可能会导致一个或多个删除操作失败。为避免此问题，请在每次删除操作之间等待 20 秒。 **相关文档:** - [Private Service Connect 端点](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#create-endpoint) - [删除](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#delete-endpoint) --- #### 6. 为自动模式 VPC 网络在墨尔本 `australia-southeast2` 区域新增 `10.192.0.0/20` 子网 **发布日期:** 2021-06-21 **更新类型:** 新功能 **功能描述:** 对于自动模式 VPC 网络，已为墨尔本 (Melbourne) `australia-southeast2` 区域新增 `10.192.0.0/20` 子网。更多信息请参阅自动模式 IP 范围。 **相关文档:** - [自动模式 IP 范围](https://cloud.google.com/vpc/docs/vpc#ip-ranges) --- #### 7. 修复了 Private Service Connect 端点在特定情况下无响应的问题 **发布日期:** 2021-06-16 **更新类型:** 问题修复 **功能描述:** 如果消费者网络中的 Private Service Connect 端点连接到一个引用了没有后端虚拟机的负载均衡器的服务连接 (service attachment)，该端点现在不会再变得无响应。 **相关文档:** - [Private Service Connect 端点](https://cloud.google.com/vpc/docs/configure-private-service-connect-services) --- #### 8. 自带 IP (BYOIP) 功能现已正式发布 **发布日期:** 2021-06-15 **更新类型:** 新功能 **功能描述:** 自带 IP (BYOIP) 功能现已正式发布。 **相关文档:** - [自带 IP](https://cloud.google.com/vpc/docs/bring-your-own-ip) --- #### 9. 创建服务连接后启用或禁用 PROXY 协议的配置不生效 **发布日期:** 2021-06-14 **更新类型:** 已知问题 **功能描述:** 在 Private Service Connect 服务连接创建后启用或禁用 PROXY 协议 (PROXY protocol) 并不会更改配置。然而，服务连接详情中显示的状态会错误地显示为已更改。要启用或禁用 PROXY 协议，请删除该服务连接并使用正确的 PROXY 协议配置重新创建。 **相关文档:** - [PROXY 协议](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#proxy-protocol) --- #### 10. 修复了为 Private Service Connect 服务连接启用 PROXY 协议后的标头值问题 **发布日期:** 2021-06-09 **更新类型:** 问题修复 **功能描述:** 如果您为 Private Service Connect 服务连接启用了 PROXY 协议，此前的 PROXY 协议标头值 (PROXY protocol header value) 可能是 `0xEA` 或 `0xE0`。从今天开始，该值将始终为 `0xE0`。 **相关文档:** - [PROXY 协议标头值](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#proxy-protocol) --- #### 11. 修复了控制台中 Private Service Connect 已发布服务选项卡的显示问题 **发布日期:** 2021-06-04 **更新类型:** 问题修复 **功能描述:** Google Cloud 控制台中的 Private Service Connect 已发布服务选项卡现在可以正确显示服务连接。您现在可以使用控制台、gcloud 命令行工具或 API 来查看和管理服务连接。 **相关文档:** - [查看](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#list-services) - [管理](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#access) --- #### 12. 修复了删除消费者端点后服务连接详情未正确更新的问题 **发布日期:** 2021-06-04 **更新类型:** 问题修复 **功能描述:** 当 Private Service Connect 消费者端点被删除后，服务连接详情现在能够正确反映此变更。 **相关文档:** - [消费者端点被删除](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#delete-endpoint) - [服务连接详情](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#attachment-details) --- #### 13. 使用 Private Service Connect 发布和访问服务的功能进入预览版 **发布日期:** 2021-06-02 **更新类型:** 新功能 **功能描述:** 使用 Private Service Connect 发布服务和访问已发布服务的功能现已进入预览版 (Preview)。 **相关文档:** - [发布服务](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer) - [访问已发布服务](https://cloud.google.com/vpc/docs/configure-private-service-connect-services) - [Private Service Connect](https://cloud.google.com/vpc/docs/private-service-connect) --- #### 14. 若服务引用的负载均衡器没有后端虚拟机，可能导致消费者端点无响应 **发布日期:** 2021-06-02 **更新类型:** 已知问题 **功能描述:** 如果您使用 Private Service Connect 发布服务，且其引用的负载均衡器没有任何后端虚拟机 (backend VM)，可能会导致消费者网络中的所有 Private Service Connect 端点无响应。请确保所有被服务连接引用的负载均衡器都有后端虚拟机。 --- #### 15. 使用 PATCH API 方法更新 Private Service Connect 服务连接时需提供所有值 **发布日期:** 2021-06-02 **更新类型:** 已知问题 **功能描述:** 使用 `PATCH` API 方法更新 Private Service Connect 服务连接时，您需要在请求体中提供所有字段的值，而不仅仅是您要更新的字段。这会影响管理服务的访问请求和更改服务的连接偏好设置。 **相关文档:** - [管理服务的访问请求](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#access) - [更改服务的连接偏好设置](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#connection-pref) --- #### 16. 控制台中 Private Service Connect 已发布服务选项卡无法显示服务连接 **发布日期:** 2021-06-02 **更新类型:** 已知问题 **功能描述:** Google Cloud 控制台中的 Private Service Connect 已发布服务选项卡无法显示服务连接。请使用 gcloud 命令行工具或 API 来查看和管理服务连接。 **相关文档:** - [查看](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#list-services) - [管理](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#access) --- #### 17. 在共享 VPC 网络中创建 Private Service Connect 端点时，必须在同一项目中创建 **发布日期:** 2021-06-02 **更新类型:** 已知问题 **功能描述:** 如果您想在共享 VPC (Shared VPC) 网络中创建 Private Service Connect 端点，该端点必须与向其发送请求的虚拟机 (VM) 位于同一个项目中。 **相关文档:** - [Private Service Connect 端点](https://cloud.google.com/vpc/docs/configure-private-service-connect-services) --- #### 18. 为 Private Service Connect 服务连接启用 PROXY 协议时，标头值可能不固定 **发布日期:** 2021-06-02 **更新类型:** 已知问题 **功能描述:** 如果您为 Private Service Connect 服务连接启用 PROXY 协议，PROXY 协议标头值可能是 `0xEA` 或 `0xE0`。在正式发布后，该值将始终为 `0xE0`。 **相关文档:** - [PROXY 协议标头值](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#proxy-protocol) --- #### 19. 删除消费者端点后，服务连接详情中未反映此变更 **发布日期:** 2021-06-02 **更新类型:** 已知问题 **功能描述:** 当 Private Service Connect 消费者端点被删除后，服务连接详情中并未反映此变更。 **相关文档:** - [消费者端点被删除](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#delete-endpoint) - [服务连接详情](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#attachment-details) --- #### 20. Private Service Connect 服务连接详情中消费者端点的状态始终显示为 Accepted **发布日期:** 2021-06-02 **更新类型:** 已知问题 **功能描述:** Private Service Connect 服务连接详情中消费者端点的状态始终显示为 `Accepted`，即使它们的实际状态并非如此。正确的状态会显示在消费者端点详情中。 **相关文档:** - [服务连接详情](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#attachment-details) - [消费者端点详情](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#endpoint-details) --- ## Cloud Load Balancing 产品更新 **更新数量:** 3 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3 | 新功能 | 2021-06-22 | | 2 | 内部 TCP/UDP 负载均衡器作为下一跳时支持对称哈希 | 新功能 | 2021-06-22 | | 3 | 网络负载均衡现已支持对 ESP 和 ICMP 流量进行负载均衡 | 新功能 | 2021-06-09 | ### 详细更新内容 #### 1. 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3 **发布日期:** 2021-06-22 **更新类型:** 新功能 **功能描述:** 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3。HTTP/3 基于 IETF QUIC 传输协议，与 HTTP/2 相比，它能减少请求延迟、提高吞吐量并缓解队头阻塞问题。目前大多数主流 Web 浏览器已支持 HTTP/3。要了解如何在您的外部 HTTP(S) 负载均衡器上启用 HTTP/3，请访问文档。 **相关文档:** - [访问文档](https://cloud.google.com/load-balancing/docs/https#QUIC) --- #### 2. 内部 TCP/UDP 负载均衡器作为下一跳时支持对称哈希 **发布日期:** 2021-06-22 **更新类型:** 新功能 **功能描述:** 内部 TCP/UDP 负载均衡器作为下一跳时支持对称哈希 (Symmetric hashing) — 当对后端的多个网络接口 (NIC) 进行负载均衡时，您不再需要使用源网络地址转换 (SNAT)。这是因为 Google Cloud 使用了对称哈希技术，这意味着对于属于同一数据流的数据包，Google Cloud 会计算出相同的哈希值。换言之，即使源 IP 地址:端口与目标 IP 地址:端口互换，哈希值也不会改变。此功能已正式发布。 **相关文档:** - [内部 TCP/UDP 负载均衡器作为下一跳时的对称哈希](https://cloud.google.com/load-balancing/docs/internal/ilb-next-hop-overview#symmetric-hashing) --- #### 3. 网络负载均衡现已支持对 ESP 和 ICMP 流量进行负载均衡 **发布日期:** 2021-06-09 **更新类型:** 新功能 **功能描述:** 网络负载均衡现已支持对封装安全载荷 (ESP) 和互联网控制消息协议 (ICMP) 流量进行负载均衡。要处理这些协议，您需要在负载均衡器的转发规则中指定新的 `L3_DEFAULT` 协议。详情请参阅：基于后端服务的网络负载均衡器的转发规则协议和为多种协议设置网络负载均衡。此功能处于预览版阶段。 **相关文档:** - [基于后端服务的网络负载均衡器的转发规则协议](https://cloud.google.com/load-balancing/docs/network/networklb-backend-service#forwarding-rule-protocols) - [为多种协议设置网络负载均衡](https://cloud.google.com/load-balancing/docs/network/setting-up-networklb-multiple-protocols) --- ## Cloud CDN 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3 | 新功能 | 2021-06-22 | ### 详细更新内容 #### 1. 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3 **发布日期:** 2021-06-22 **更新类型:** 新功能 **功能描述:** 外部 HTTP(S) 负载均衡和 Cloud CDN 现已支持 HTTP/3。HTTP/3 基于 IETF QUIC 传输协议，与 HTTP/2 相比，它能减少请求延迟、提高吞吐量并缓解队头阻塞问题。目前大多数主流 Web 浏览器已支持 HTTP/3。要了解如何在您的外部 HTTP(S) 负载均衡器上启用 HTTP/3，请访问文档。 **相关文档:** - [访问文档](https://cloud.google.com/load-balancing/docs/https#QUIC) --- ## Cloud VPN 产品更新 **更新数量:** 3 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | Cloud VPN 现已在 `asia-south2` (德里) 区域可用 | 新功能 | 2021-06-29 | | 2 | Cloud VPN 现已在 `australia-southeast2` (墨尔本) 区域可用 | 新功能 | 2021-06-21 | | 3 | 您可以使用 VPN 隧道利用率推荐器检查隧道是否超负荷 | 新功能 | 2021-06-08 | ### 详细更新内容 #### 1. Cloud VPN 现已在 `asia-south2` (德里, 印度) 区域可用 **发布日期:** 2021-06-29 **更新类型:** 新功能 **功能描述:** Cloud VPN 现已在 `asia-south2` (德里, 印度) 区域可用。价格信息请参见 Cloud VPN 定价页面。 **相关文档:** - [区域](https://cloud.google.com/compute/docs/regions-zones#available) - [Cloud VPN 定价页面](https://cloud.google.com/network-connectivity/docs/vpn/pricing) --- #### 2. Cloud VPN 现已在 `australia-southeast2` (墨尔本, 澳大利亚) 区域可用 **发布日期:** 2021-06-21 **更新类型:** 新功能 **功能描述:** Cloud VPN 现已在 `australia-southeast2` (墨尔本, 澳大利亚) 区域可用。价格信息请参见 Cloud VPN 定价页面。 **相关文档:** - [区域](https://cloud.google.com/compute/docs/regions-zones#available) - [Cloud VPN 定价页面](https://cloud.google.com/network-connectivity/docs/vpn/pricing) --- #### 3. 您可以使用 VPN 隧道利用率推荐器检查隧道是否超负荷 **发布日期:** 2021-06-08 **更新类型:** 新功能 **功能描述:** 您可以使用 VPN 隧道超额使用推荐器 (VPN tunnel utilization recommender) 来检查 VPN 隧道是否超负荷。推荐器是 Google Cloud 中的一项服务，可为云资源提供使用建议。 --- ## Network Connectivity Center 产品更新 **更新数量:** 2 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 不再支持向现有 Spoke 添加或移除路由器设备实例 | 变更 | 2021-06-28 | | 2 | 使用路由器设备 Spoke 连接超过 1000 个虚拟机时可能出现问题 | 已知问题 | 2021-06-11 | ### 详细更新内容 #### 1. 不再支持向现有 Spoke 添加或移除路由器设备实例 **发布日期:** 2021-06-28 **更新类型:** 变更 **功能描述:** 不再支持向现有 Spoke 添加或移除路由器设备实例。您必须删除并重新创建 Spoke，以包含您希望该 Spoke 包含的路由器设备实例。此问题正在处理中。 --- #### 2. 使用路由器设备 Spoke 连接超过 1000 个虚拟机时可能出现问题 **发布日期:** 2021-06-11 **更新类型:** 已知问题 **功能描述:** 如果您使用路由器设备 Spoke 连接超过 1,000 个虚拟机，可能会无法在路由器设备实例和 Cloud Router 之间建立 BGP 会话。这 1,000 个虚拟机的限制包括任何可通过 VPC 网络对等互连 (VPC Network Peering) 访问的虚拟机。 --- ## Cloud Armor 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | Google Cloud Armor 现已支持解析 POST 请求体中的 JSON 内容 | 新功能 | 2021-06-30 | ### 详细更新内容 #### 1. Google Cloud Armor 现已支持在评估预配置 WAF 规则时解析 POST 请求体中的 JSON 内容 **发布日期:** 2021-06-30 **更新类型:** 新功能 **功能描述:** Google Cloud Armor 现在支持在评估预配置的 WAF 规则时，解析 POST 请求体 (POST bodies) 的 JSON 内容。JSON 解析功能必须在每个安全策略 (security-policy) 的基础上启用。此外，您可以启用详细请求日志记录，以提供有关特定规则被触发原因的更多详细信息。这些功能已正式发布。 --- ## ROUTER 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | Cloud Router 现已支持启用/禁用 BGP 会话及更新 BGP keepalive 间隔 | 新功能 | 2021-06-23 | ### 详细更新内容 #### 1. Cloud Router 现已支持以下功能：启用和禁用 BGP 会话、更新 BGP keepalive 间隔 **发布日期:** 2021-06-23 **更新类型:** 新功能 **功能描述:** Cloud Router 现已支持以下功能：启用和禁用 BGP 会话、更新 BGP keepalive 间隔。 **相关文档:** - [启用和禁用 BGP 会话](https://cloud.google.com/network-connectivity/docs/router/how-to/terminating-bgp) - [更新 BGP keepalive 间隔](https://cloud.google.com/network-connectivity/docs/router/how-to/managing-bgp-timers#updating_the_bgp_keepalive_interval_for) --- ## SERVICE-MESH 产品更新 **更新数量:** 11 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 1.10.2-asm.3 版本已发布，修复了控制平面指标报告的已知问题 | 问题修复 | 2021-06-30 | | 2 | Anthos Service Mesh 用户身份验证功能正式发布 | 新功能 | 2021-06-30 | | 3 | 1.10 版本中存在一项关于入站转发的重大变更 | 重大变更 | 2021-06-29 | | 4 | 1.10.2-asm.2 版本中存在控制平面指标报告的已知问题 | 已知问题 | 2021-06-25 | | 5 | 1.10.2-asm.2 版本已发布 | 新功能 | 2021-06-24 | | 6 | Google 管理的控制平面发布渠道已可用 | 新功能 | 2021-06-24 | | 7 | 本地 Anthos 集群现已支持 Mesh CA | 新功能 | 2021-06-24 | | 8 | 支持以极少或无停机时间从 Istio CA 迁移到 Mesh CA | 新功能 | 2021-06-24 | | 9 | 1.8.6-asm.4 和 1.9.6-asm.1 版本已发布，修复了安全漏洞 | 问题修复 | 2021-06-24 | | 10 | Istio 项目公布了一项安全漏洞 (CVE-2021-34824) | 安全更新 | 2021-06-24 | | 11 | Google 管理的控制平面功能正式发布 | 新功能 | 2021-06-15 | ### 详细更新内容 #### 1. 1.10.2-asm.3 版本已发布，修复了控制平面指标报告的已知问题 **发布日期:** 2021-06-30 **更新类型:** 问题修复 **功能描述:** 1.10.2-asm.3 版本现已发布，其中修复了于 2021 年 6 月 25 日报告的控制平面指标报告已知问题。有关升级 Anthos Service Mesh 的详细信息，请参阅以下升级指南：在 GKE 上使用 `install_asm` 脚本升级、在 Anthos clusters on VMware 上升级。 **相关文档:** - [2021 年 6 月 25 日](#June_25_2021) - [在 GKE 上升级](https://cloud.google.com/service-mesh/docs/scripted-install/gke-upgrade) - [在 Anthos clusters 上升级](https://cloud.google.com/service-mesh/docs/on-premises-upgrade) --- #### 2. Anthos Service Mesh 用户身份验证功能正式发布 **发布日期:** 2021-06-30 **更新类型:** 新功能 **功能描述:** Anthos Service Mesh 用户身份验证 (user authentication) 功能现已正式发布 (GA)。此功能允许您使用现有的身份提供商 (IDP) 对用户进行身份验证并控制其对工作负载的访问。更多信息，请参阅配置 Anthos Service Mesh 用户身份验证。 **相关文档:** - [配置 Anthos Service Mesh 用户身份验证](https://cloud.google.com/service-mesh/docs/security/end-user-auth) --- #### 3. 1.10 版本中存在一项关于入站转发的重大变更 **发布日期:** 2021-06-29 **更新类型:** 重大变更 **功能描述:** 1.10 版本中存在一项关于入站转发的重大变更，该变更会影响仅绑定到 `localhost` 接口的应用程序。更多信息，请参阅 1.10 Istio 升级说明。 **相关文档:** - [1.10 Istio 升级说明](https://istio.io//latest/news/releases/1.10.x/announcing-1.10/upgrade-notes/) --- #### 4. 1.10.2-asm.2 版本中存在控制平面指标报告的已知问题 **发布日期:** 2021-06-25 **更新类型:** 已知问题 **功能描述:** 1.10.2-asm.2 版本中存在一个已知问题，即控制平面向 Cloud Monitoring 报告指标的功能无法正常工作，并在 Istiod 容器中报告过多的错误日志。 --- #### 5. 1.10.2-asm.2 版本已发布 **发布日期:** 2021-06-24 **更新类型:** 新功能 **功能描述:** 1.10.2-asm.2 版本现已发布。此补丁版本包含与 Istio 1.10.2 相同的错误修复。有关升级 Anthos Service Mesh 的详细信息，请参阅以下升级指南：在 GKE 上使用 `install_asm` 脚本升级、在 Anthos clusters on VMware 上升级。 **相关文档:** - [Istio 1.10.2](https://istio.io/latest/news/releases/1.10.x/announcing-1.10.2/) - [在 GKE 上升级](https://cloud.google.com/service-mesh/docs/scripted-install/gke-upgrade) - [在 Anthos 上升级](https://cloud.google.com/service-mesh/docs/on-premises-upgrade) --- #### 6. Google 管理的控制平面发布渠道已可用 **发布日期:** 2021-06-24 **更新类型:** 新功能 **功能描述:** Google 管理的控制平面 (control plane) 发布渠道 (release channels) 已可用。Anthos Service Mesh 会频繁发布更新，以提供安全更新、修复已知问题并引入新功能。发布渠道使您能够在 Anthos Service Mesh 版本的稳定性与功能集之间取得平衡。Google 会自动管理每个发布渠道的版本和升级节奏。要了解更多信息，请参阅以下内容：1.9x Google 管理的控制平面、1.10x Google 管理的控制平面。 **相关文档:** - [1.9x Google 管理的控制平面](https://cloud.google.com/service-mesh/v1.9/docs/release-channels-managed-control-plane) - [1.10x Google 管理的控制平面](https://cloud.google.com/service-mesh/docs/release-channels-managed-control-plane) --- #### 7. 本地 Anthos 集群现已支持 Mesh CA **发布日期:** 2021-06-24 **更新类型:** 新功能 **功能描述:** 本地 Anthos 集群现已支持 Mesh CA。在 Anthos clusters on VMWare 和裸金属上新安装的 Anthos Service Mesh 1.10x 版本支持 Anthos Service Mesh 证书颁发机构 (Mesh CA)。有关安装详情，请参阅在本地安装 Anthos Service Mesh。当您在本地使用 Mesh CA 安装 Anthos Service Mesh 时，会默认启用 Cloud Monitoring 和 Cloud Logging。此外，您还可以根据需要使用 Cloud Trace (需单独启用) 进行故障排查。 **相关文档:** - [在本地安装 Anthos Service Mesh](https://cloud.google.com/service-mesh/docs/on-premises-install) - [Cloud Monitoring 和 Cloud Logging](https://cloud.google.com/service-mesh/docs/supported-features#user_interface) - [单独启用](https://cloud.google.com/service-mesh/docs/enable-optional-features#trace) --- #### 8. 支持以极少或无停机时间从 Istio CA 迁移到 Mesh CA **发布日期:** 2021-06-24 **更新类型:** 新功能 **功能描述:** 支持以极少或无停机时间从 Istio CA 迁移到 Mesh CA。从 Istio CA (也称为 Citadel) 迁移到 Anthos Service Mesh 证书颁发机构 (Mesh CA) 需要迁移信任根 (root of trust)。在 Anthos Service Mesh 1.10 之前，如果您想从 Istio 迁移到带有 Mesh CA 的 Anthos Service Mesh，需要安排停机时间，因为 Anthos Service Mesh 无法加载多个根证书，这会在迁移过程中中断双向 TLS (mTLS) 流量。使用 Anthos Service Mesh 1.10 及更高版本，您可以安装一个新的集群内控制平面，并选择将 Mesh CA 信任根分发给所有代理。切换到新的控制平面并重启工作负载后，所有代理都将配置 Istio CA 和 Mesh CA 的信任根。接下来，您安装一个启用了 Mesh CA 的新集群内控制平面。当您将工作负载切换到新的控制平面时，mTLS 流量不会中断。详情请参阅迁移到 Mesh CA。 **相关文档:** - [迁移到 Mesh CA](https://cloud.google.com/service-mesh/docs/ca-migration) --- #### 9. 1.8.6-asm.4 和 1.9.6-asm.1 版本已发布，修复了安全漏洞 **发布日期:** 2021-06-24 **更新类型:** 问题修复 **功能描述:** 1.8.6-asm.4 和 1.9.6-asm.1 版本现已发布。此版本更新了以下 Anthos Service Mesh 版本的 Envoy 版本：1.8.6-asm.2 使用 Envoy v1.16.3；1.9.6-asm.1 使用 Envoy v1.17.2。这些补丁版本修复了 CVE-2021-34824。有关升级 Anthos Service Mesh 的详细信息，请参阅以下升级指南：Anthos Service Mesh 1.8.x 在 GKE 上升级、在 Anthos clusters on VMware 上升级；Anthos Service Mesh 1.9.x 在 GKE 上升级、在 Anthos clusters on VMware 上升级。 **相关文档:** - [CVE-2021-34824](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34824) - [在 GKE 上升级 (1.8.x)](https://cloud.google.com/service-mesh/v1.8/docs/scripted-install/gke-upgrade) - [在 Anthos clusters on VMware 上升级 (1.8.x)](https://cloud.google.com/service-mesh/v1.8/docs/gke-on-prem-upgrading) - [在 GKE 上升级 (1.9.x)](https://cloud.google.com/service-mesh/v1.9/docs/scripted-install/gke-upgrade) - [在 Anthos clusters on VMware 上升级 (1.9.x)](https://cloud.google.com/service-mesh/v1.9/docs/on-premises-upgrade) --- #### 10. Istio 项目公布了一项安全漏洞 (CVE-2021-34824) **发布日期:** 2021-06-24 **更新类型:** 安全更新 **功能描述:** Istio 项目最近公布了一项安全漏洞 (CVE-2021-34824)，其中在 Gateway 和 DestinationRule 的 `credentialName` 字段中指定的凭据可以从不同的命名空间访问。更多信息，请参阅 GCP-2021-012 安全公告。 **相关文档:** - [公布](https://istio.io/latest/news/security/istio-security-2021-007/) - [CVE-2021-34824](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34824) - [GCP-2021-012 安全公告](https://cloud.google.com/service-mesh/docs/security-bulletins#gcp-2021-012) --- #### 11. Google 管理的控制平面功能正式发布 **发布日期:** 2021-06-15 **更新类型:** 新功能 **功能描述:** Google 管理的控制平面功能现已正式发布 (GA)。此功能让您从在集群中管理 Istiod 转变为将控制平面配置为一项服务。Google 将负责管理控制平面的可用性、可伸缩性和安全性。此外，它还提供了以下新功能：支持 CNI、支持具有公共 IP 地址/端点访问权限的私有集群以访问控制平面、支持具有主站授权网络 (MAN) 的私有集群。使用 Google 管理的控制平面还简化了多集群网格配置，并减少了安装 Anthos Service Mesh 所需的 Kubernetes Engine 权限。更多信息，请参阅配置 Google 管理的控制平面。 **相关文档:** - [CNI](https://cloud.google.com/service-mesh/docs/managed-control-plane#apply_the_google-managed_control_plane) - [公共 IP 地址/端点访问权限](https://cloud.google.com/service-mesh/docs/supported-features-mcp#environments) - [主站授权网络 (MAN)](https://cloud.google.com/service-mesh/docs/supported-features-mcp#environments) - [配置 Google 管理的控制平面](https://cloud.google.com/service-mesh/docs/managed-control-plane) --- ## 数据来源本文档内容来源于GCP官方Release Notes页面，具体更新详情请访问: - https://cloud.google.com/armor/docs/release-notes - https://cloud.google.com/cdn/docs/release-notes - https://cloud.google.com/load-balancing/docs/release-notes - https://cloud.google.com/network-connectivity/docs/network-connectivity-center/release-notes - https://cloud.google.com/network-connectivity/docs/router/release-notes - https://cloud.google.com/network-connectivity/docs/vpn/release-notes - https://cloud.google.com/service-mesh/docs/release-notes - https://cloud.google.com/vpc/docs/release-notes **生成时间:** 2025-12-22 10:55:22