GCP 网络服务 2024 年 8 月更新

**发布时间:** 2024-08-01 **厂商:** Google Cloud Platform **类型:** 月度更新汇总 --- <!-- AI_TASK_START: AI标题翻译 --> GCP 网络服务 2024 年 8 月更新 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 月度更新概览 ## 更新总览 2024年8月，Google Cloud Platform (GCP) 针对其网络服务产品线发布了13项更新，涉及6款核心产品。本次更新重点聚焦于增强混合云连接能力、提升网络安全水位以及深化云原生集成，体现了GCP在企业级网络解决方案上的持续投入。 ## 各产品更新详情 ### VPC - **移除 BYOIP v1 实时迁移功能**: 这是一项重大变更（Breaking Change），强制新用户使用 **BYOIP v2**。v2版本赋予用户对IP前缀通告时机的精确控制，提升了IP地址管理的灵活性和安全性。此举旨在淘汰旧版功能，统一到功能更强大的新版本上。 - [bring your own IP v2](https://cloud.google.com/vpc/docs/bring-your-own-ip#comparison) - **VPC Flow Logs 支持混合连接流量采样 (Preview)**: **VPC Flow Logs** 现可对通过 **Cloud Interconnect** 的VLAN附件和 **Cloud VPN** 隧道的流量进行采样。这是一个关键的可观测性增强，使得企业能够监控和分析其本地数据中心与GCP之间的流量，极大地简化了混合云环境下的故障排查和安全审计。 - [VPC Flow Logs](https://cloud.google.com/vpc/docs/flow-logs) - **VPC Flow Logs 新增元数据注解 (GA)**: 正式版本中增加了多个元数据字段，如 `src_gateway`、`dest_gateway`、`src_google_service`、`dest_google_service` 等。这些丰富的元数据为流量分析提供了更深层次的上下文，例如可以清晰地识别流量是否经过了特定的网关、负载均衡器或PSC（Private Service Connect），显著提升了网络可见性。 - [Record Format](https://cloud.google.com/vpc/docs/about-flow-logs-records#record_format) ### Cloud Load Balancing - **弃用 TLS sessionID 恢复机制**: 全球外部应用负载均衡器和经典应用负载均衡器将不再支持过时的 **TLS sessionID** 恢复机制。这是一个主动的安全升级，推动用户转向更现代、更安全的 **PSK** 和 **ticket** 机制。短期内可能导致依赖旧机制的客户端回退到完整的TLS握手，但长期来看提升了整体安全性。 - [PSK](https://datatracker.ietf.org/doc/html/rfc8446#section-2.2) - [ticket](https://datatracker.ietf.org/doc/html/rfc5077) - [sessionID](https://datatracker.ietf.org/doc/html/rfc5246) - **区域负载均衡器支持双向TLS (mTLS) (GA)**: 区域外部、区域内部及跨区域内部应用负载均衡器现已正式支持 **mTLS**。该功能允许负载均衡器在TLS握手期间验证客户端证书，是实现 **零信任网络架构** 的关键组件，确保了只有经过授权的客户端才能访问后端服务。 - [Mutual TLS authentication](https://cloud.google.com/load-balancing/docs/mtls) ### Cloud DNS - **DNS路由策略支持内部代理网络负载均衡器 (Preview)**: Cloud DNS 的路由策略现可将内部代理网络负载均衡器作为健康检查目标。此功能将DNS解析与负载均衡器的健康状态直接挂钩，实现了更智能、更具弹性的内部服务流量路由，避免将流量发送到不健康的后端。 - [DNS routing policies and health checks](https://cloud.google.com/dns/docs/routing-policies-overview) ### Network Connectivity Center - **预设拓扑和导出过滤器 (GA)**: **预设拓扑**（网状或星型）和 **包含导出过滤器** 功能正式可用。预设拓扑简化了大规模VPC Spoke之间的连接配置，而导出过滤器则通过允许的CIDR列表提供了精细的路由控制，增强了网络隔离和安全性。这使得构建和管理复杂的中心辐射型网络架构变得更加高效和安全。 - [Preset topologies](https://cloud.google.com/network-connectivity/docs/network-connectivity-center/concepts/vpc-spokes-overview#preset-topologies) - [include export filters](https://cloud.google.com/network-connectivity/docs/network-connectivity-center/concepts/vpc-spokes-overview#include-export-ranges) ### Cloud Router - **支持标准最佳路径选择模式 (Preview)**: Cloud Router 引入了新的BGP最佳路径选择模式，支持基于 **AS Path** 的一致性路由选择。这为网络工程师提供了更符合业界标准的路由控制能力，对于管理具有复杂路由策略的混合云网络至关重要。 - [Best path selection modes](https://cloud.google.com/network-connectivity/docs/router/concepts/learned-routes#best-path-selection-modes) ### Cloud Service Mesh - **弃用 asmcli 部署托管式服务网格**: 在GCP集群上使用 `asmcli` 工具部署托管式Cloud Service Mesh的方式已被弃用，官方推荐使用 `gcloud` 或Cloud Console。此举旨在统一和简化用户体验，将部署流程与GCP标准工具链对齐。 - **发布多个新版本**: 发布了基于Istio 1.22.4, 1.21.5, 1.20.8 的新版本，持续跟进社区版本，为用户带来最新的功能和安全修复。 - [Istio 1.22.4](https://istio.io/latest/news/releases/1.22.x/announcing-1.22.4/) - **支持 Kubernetes Gateway API (Preview)**: Cloud Service Mesh 现已支持使用 **Kubernetes Gateway API** 来配置流量管理。这是一个战略性的更新，标志着GCP服务网格正积极拥抱Kubernetes社区的下一代流量入口标准，有助于提升配置的可移植性并降低用户的学习成本。 - [Gateway API](https://gateway-api.sigs.k8s.io/) - [Overview page](https://cloud.google.com/service-mesh/docs/gateway/overview) ## 重点更新分析 1. **负载均衡器全面支持 mTLS**: 将 **mTLS** 功能扩展到区域级负载均衡器并使其正式可用，是GCP在网络安全领域的一个重要里程碑。它将零信任安全模型从边缘网络（全局负载均衡器）深入到VPC内部和区域级应用，为企业构建端到端的加密和认证体系提供了强大的原生工具，这在金融、医疗等对安全要求极高的行业中具有很强的吸引力。 2. **Cloud Service Mesh 拥抱 Gateway API**: 对 **Kubernetes Gateway API** 的支持意义深远。它表明GCP正在从遵循Istio自身的API模型转向遵循更广泛的Kubernetes社区标准。这不仅降低了用户从其他Kubernetes环境迁移到GCP服务网格的门槛，也保证了其产品在云原生生态中的长期竞争力和相关性。对于开发者而言，这意味着可以使用一套标准的API来管理不同环境下的流量，大大简化了多云和混合云场景下的运维。 3. **混合云网络可观测性与控制力增强**: 本月多个更新，如VPC Flow Logs对混合连接的支持、Cloud Router的新BGP模式以及Network Connectivity Center的GA功能，共同构成了对混合云网络管理能力的系统性提升。GCP正在为大型企业提供一套从流量可见性到路由精细化控制的完整解决方案，解决了传统企业上云过程中最棘手的网络集成与管理难题。 ## 趋势洞察 - **企业级网络能力深化**: 本月更新明显倾向于满足大型企业的复杂网络需求。无论是混合云的可观测性、精细化的路由控制，还是大规模VPC网络的拓扑管理，都显示出GCP正在持续构建其在企业市场的护城河。 - **安全左移与原生集成**: 安全功能（如mTLS）正被更深入地集成到基础网络产品中，成为一项原生能力而非附加组件。这反映了“安全左移”的行业趋势，即在基础设施层面内置强大的安全控制，简化用户的安全实践。 - **拥抱开源与社区标准**: 对Kubernetes Gateway API的支持，体现了GCP积极融入并引领云原生开源生态的战略。通过采用通用标准，GCP降低了用户被“厂商锁定”的担忧，提升了平台的开放性和吸引力。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # GCP网络服务月度更新 - 2024-08 **发布时间:** 2024-08-01 **厂商:** Google Cloud Platform **产品线:** 网络服务 **类型:** 月度更新汇总 **产品数量:** 6 个 **总更新数量:** 13 条 --- ## 产品更新概览 | 产品 | 更新数量 | 主要更新内容 | |------|----------|--------------| | VPC | 3条 | 自带 IP v1 的实时迁移功能已被移除...; VPC 流日志可以对通过...的流量进行采样; VPC 流日志包含以下元数据... | | Cloud Load Balancing | 2条 | 全球外部应用负载均衡器...; 区域级外部应用负载均衡器... | | Cloud DNS | 1条 | 您现在可以选择内部代理网络... | | Network Connectivity Center | 1条 | 预设拓扑和包含导出过滤器... | | ROUTER | 1条 | Cloud Router 支持标准的最佳路径... | | SERVICE-MESH | 5条 | 使用 asmcli 为托管式 Cloud Service Mesh...; 1.22.4-asm.0 现已可用于集群内...; 1.20.8-asm.6 现已可用于集群内... 等5项更新 | --- ## VPC 产品更新 **更新数量:** 3 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 自带 IP v1 的实时迁移功能已被移除 | 重大变更 | 2024-08-23 | | 2 | VPC 流日志可以对通过 VLAN 连接发送的流量进行采样 | 功能 | 2024-08-23 | | 3 | VPC 流日志包含以下元数据注释 | 功能 | 2024-08-12 | ### 详细更新内容 #### 1. 自带 IP v1 的实时迁移功能已被移除。对于新配置... **发布日期:** 2024-08-23 **更新类型:** 重大变更 (Breaking) **功能描述:** 自带 IP (bring your own IP) v1 的实时迁移 (live migration) 功能已被移除。对于新配置，我们建议您使用自带 IP v2，它允许您控制前缀的通告时间。 **相关文档:** - [自带 IP v2](https://cloud.google.com/vpc/docs/bring-your-own-ip#comparison) --- #### 2. VPC 流日志可以对通过 Cloud Interconnect 的 VLAN 连接和 Cloud VPN 隧道发送的流量进行采样 **发布日期:** 2024-08-23 **更新类型:** 功能 (Feature) **功能描述:** VPC 流日志 (VPC Flow Logs) 可以对通过 Cloud Interconnect 的 VLAN 连接 (VLAN attachments) 和 Cloud VPN 隧道发送的流量进行采样。此功能处于预览版 (Preview) 阶段。更多信息，请参阅 VPC 流日志文档。 **相关文档:** - [VPC 流日志](https://cloud.google.com/vpc/docs/flow-logs) --- #### 3. VPC 流日志在正式版中包含以下元数据注释 **发布日期:** 2024-08-12 **更新类型:** 功能 (Feature) **功能描述:** VPC 流日志在正式版 (General Availability) 中包含以下元数据注释：`src_gateway` 和 `dest_gateway`、`src_google_service` 和 `dest_google_service`、`load_balancing`、`network_service`、`psc`。更多信息，请参阅记录格式文档。 **相关文档:** - [记录格式](https://cloud.google.com/vpc/docs/about-flow-logs-records#record_format) --- ## Cloud Load Balancing 产品更新 **更新数量:** 2 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 全球外部应用负载均衡器和... | 弃用 | 2024-08-28 | | 2 | 区域级外部应用负载均衡器、区域级... | 功能 | 2024-08-05 | ### 详细更新内容 #### 1. 全球外部应用负载均衡器和经典应用负载均衡器... **发布日期:** 2024-08-28 **更新类型:** 弃用 (Deprecated) **功能描述:** 全球外部应用负载均衡器 (Global external Application Load Balancer) 和经典应用负载均衡器 (Classic Application Load Balancer) 将不再支持 TLS 会话 ID (sessionID) 恢复。它们将继续支持现代形式的 TLS 恢复。TLS 协议支持一种优化，允许客户端在重新连接到之前通信过的服务器时，执行成本更低的简化握手 (abbreviated handshake)。这种优化有多种模式，包括现代的 `PSK` 和 `ticket` 机制，以及早已过时的 `sessionID` 机制。全球外部应用负载均衡器和经典应用负载均衡器是目前唯一支持过时 `sessionID` 机制的 Google Cloud 产品。`sessionID` 机制将在未来 4-5 周内被禁用。当前使用 `sessionID` 的客户端将透明地回退到完整的 TLS 握手。为了恢复性能优化的收益，我们建议您将客户端升级到支持 `PSK` 或 `ticket` 机制的现代 TLS 库。 **相关文档:** - [PSK](https://datatracker.ietf.org/doc/html/rfc8446#section-2.2) - [ticket](https://datatracker.ietf.org/doc/html/rfc5077) - [sessionID](https://datatracker.ietf.org/doc/html/rfc5246) --- #### 2. 区域级外部应用负载均衡器、区域级内部应用负载均衡器... **发布日期:** 2024-08-05 **更新类型:** 功能 (Feature) **功能描述:** 区域级外部应用负载均衡器 (Regional external Application Load Balancer)、区域级内部应用负载均衡器 (regional internal Application Load Balancer) 和跨区域内部应用负载均衡器 (cross-region internal Application Load Balancer) 支持双向 TLS (mTLS)。通过 mTLS，负载均衡器在与客户端进行 TLS 握手期间，会请求客户端发送证书以进行自我认证。您可以配置一个信任存储 (trust store) 来验证客户端证书的信任链。详情请参阅以下文档：双向 TLS 认证、使用用户提供的证书设置双向 TLS、使用私有 CA 设置双向 TLS。此功能已正式发布 (General Availability)。全球外部应用负载均衡器和经典应用负载均衡器已支持前端 mTLS (正式版)。 **相关文档:** - [双向 TLS 认证](https://cloud.google.com/load-balancing/docs/mtls) - [使用用户提供的证书设置双向 TLS](https://cloud.google.com/load-balancing/docs/https/setting-up-mtls-ccm) - [使用私有 CA 设置双向 TLS](https://cloud.google.com/load-balancing/docs/https/setting-up-mtls-ca-ccm) --- ## Cloud DNS 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 您现在可以选择内部代理网络负载均衡器... | 功能 | 2024-08-08 | ### 详细更新内容 #### 1. 您现在可以选择内部代理网络负载均衡器作为 DNS 路由策略的健康检查目标 **发布日期:** 2024-08-08 **更新类型:** 功能 (Feature) **功能描述:** 您现在可以选择内部代理网络负载均衡器 (internal proxy Network Load Balancers) 作为 DNS 路由策略 (DNS routing policies) 的健康检查目标 (health checked target)，此功能处于预览版 (Preview) 阶段。更多信息，请参阅 DNS 路由策略和健康检查文档。 **相关文档:** - [预览版](https://cloud.google.com/products/#product-launch-stages) - [DNS 路由策略和健康检查](https://cloud.google.com/dns/docs/routing-policies-overview) --- ## Network Connectivity Center 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 预设拓扑和包含导出过滤器已正式可用 | 功能 | 2024-08-30 | ### 详细更新内容 #### 1. 预设拓扑和包含导出过滤器已正式可用 **发布日期:** 2024-08-30 **更新类型:** 功能 (Feature) **功能描述:** 预设拓扑 (Preset topologies) 和包含导出过滤器 (include export filters) 已正式可用 (generally available)。预设拓扑允许您指定所有 VPC spoke 之间的连接配置。您可以选择网状 (mesh) 或星型 (star) 预设拓扑。包含导出过滤器允许您通过指定一个允许的 CIDR 范围列表来限制连接，从而阻止除允许的 IP 地址范围之外的所有流量。 **相关文档:** - [预设拓扑](https://cloud.google.com/network-connectivity/docs/network-connectivity-center/concepts/vpc-spokes-overview#preset-topologies) - [包含导出过滤器](https://cloud.google.com/network-connectivity/docs/network-connectivity-center/concepts/vpc-spokes-overview#include-export-ranges) - [正式可用](https://cloud.google.com/products#product-launch-stages) --- ## ROUTER 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | Cloud Router 支持标准的最佳路径选择模式 | 功能 | 2024-08-27 | ### 详细更新内容 #### 1. Cloud Router 在预览版中支持标准的最佳路径选择模式，该模式提供... **发布日期:** 2024-08-27 **更新类型:** 功能 (Feature) **功能描述:** Cloud Router 在预览版 (Preview) 中支持标准的最佳路径选择模式 (best path selection mode)，该模式支持一致的基于 AS 路径的路由 (AS path-based routing)，并能更好地控制 BGP 前缀 (BGP prefixes) 在您的 VPC 网络中的排序方式。更多信息，请参阅最佳路径选择模式文档。 **相关文档:** - [预览版](https://cloud.google.com/products#preview) - [最佳路径选择模式](https://cloud.google.com/network-connectivity/docs/router/concepts/learned-routes#best-path-selection-modes) --- ## SERVICE-MESH 产品更新 **更新数量:** 5 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |------|----------|----------|----------| | 1 | 使用 asmcli 为托管式 Cloud Service Mesh... | 弃用 | 2024-08-22 | | 2 | 1.22.4-asm.0 现已可用于集群内 Cloud... | 公告 | 2024-08-22 | | 3 | 1.20.8-asm.6 现已可用于集群内 Cloud... | 公告 | 2024-08-22 | | 4 | 1.21.5-asm.5 现已可用于集群内 Cloud... | 公告 | 2024-08-22 | | 5 | 为无代理 gRPC 或 Envoy 代理部署配置... | 功能 | 2024-08-07 | ### 详细更新内容 #### 1. 使用 asmcli 为托管式 Cloud Service Mesh 进行初始配置的路径自... **发布日期:** 2024-08-22 **更新类型:** 弃用 (Deprecated) **功能描述:** 使用 `asmcli` 为托管式 Cloud Service Mesh 进行初始配置的路径自 2024 年 8 月 22 日起被弃用，并将在 2025 年 2 月停止支持。此变更仅影响 Google Cloud 集群。任何非 Google Cloud 集群将继续使用 `asmcli`。为确保此过渡尽可能平稳，请在 2025 年 2 月前创建新集群时使用 `gcloud` 或 Cloud Console 的初始配置路径。对于已部署 Cloud Service Mesh 的现有集群，您无需立即采取任何行动，这些部署仍将得到完全支持。 **相关文档:** - [gcloud](https://cloud.google.com/service-mesh/docs/onboarding/provision-control-plane) --- #### 2. 1.22.4-asm.0 现已可用于集群内 Cloud Service Mesh。您现在可以下载... **发布日期:** 2024-08-22 **更新类型:** 公告 (Announcement) **功能描述:** 1.22.4-asm.0 现已可用于集群内 (in-cluster) Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.22.4-asm.0。它包含了 Istio 1.22.4 的功能，但受限于支持的功能列表。Cloud Service Mesh 1.22.4-asm.0 使用 Envoy v1.30.4。 **相关文档:** - [Istio 1.22.4](https://istio.io/latest/news/releases/1.22.x/announcing-1.22.4/) - [支持的功能](https://cloud.google.com/service-mesh/docs/supported-features) --- #### 3. 1.20.8-asm.6 现已可用于集群内 Cloud Service Mesh。您现在可以下载... **发布日期:** 2024-08-22 **更新类型:** 公告 (Announcement) **功能描述:** 1.20.8-asm.6 现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.20.8-asm.6。它包含了 Istio 1.20.8 的功能，但受限于支持的功能列表。Cloud Service Mesh 1.20.8-asm.6 使用 Envoy v1.28.5。 **相关文档:** - [Istio 1.20.8](https://istio.io/latest/news/releases/1.20.x/announcing-1.20.8/) - [支持的功能](https://cloud.google.com/service-mesh/docs/supported-features) --- #### 4. 1.21.5-asm.5 现已可用于集群内 Cloud Service Mesh。您现在可以下载... **发布日期:** 2024-08-22 **更新类型:** 公告 (Announcement) **功能描述:** 1.21.5-asm.5 现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.21.5-asm.5。它包含了 Istio 1.21.5 的功能，但受限于支持的功能列表。Cloud Service Mesh 1.21.5-asm.5 使用 Envoy v1.29.7。 **相关文档:** - [Istio 1.21.5](https://istio.io/latest/news/releases/1.21.x/announcing-1.21.5/) - [支持的功能](https://cloud.google.com/service-mesh/docs/supported-features) --- #### 5. 使用 Kubernetes Gateway API 为无代理 gRPC 或 Envoy 代理部署配置 Cloud Service Mesh... **发布日期:** 2024-08-07 **更新类型:** 功能 (Feature) **功能描述:** 使用 Kubernetes Gateway API 为无代理 gRPC (proxyless gRPC) 或 Envoy 代理 (Envoy proxy) 部署配置 Cloud Service Mesh 的功能现已作为预览功能提供。更多信息，请参阅概述页面。 **相关文档:** - [Gateway API](https://gateway-api.sigs.k8s.io/) - [概述页面](https://cloud.google.com/service-mesh/docs/gateway/overview) --- ## 数据来源 本文档内容来源于GCP官方Release Notes页面，具体更新详情请访问: - https://cloud.google.com/dns/docs/release-notes - https://cloud.google.com/load-balancing/docs/release-notes - https://cloud.google.com/network-connectivity/docs/network-connectivity-center/release-notes - https://cloud.google.com/network-connectivity/docs/router/release-notes - https://cloud.google.com/service-mesh/docs/release-notes - https://cloud.google.com/vpc/docs/release-notes **生成时间:** 2025-12-22 10:55:21 <!-- AI_TASK_END: AI全文翻译 -->