GCP 网络服务 2025 年 1 月更新

**发布时间:** 2025-01-01 **厂商:** Google Cloud Platform **类型:** 月度更新汇总 --- <!-- AI_TASK_START: AI标题翻译 --> GCP 网络服务 2025 年 1 月更新 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 月度更新概览 ## 更新总览 Google Cloud Platform (GCP) 在2025年1月针对其网络服务产品线发布了18项更新，涉及VPC、Cloud Load Balancing、Cloud DNS、Cloud Interconnect、Network Connectivity Center及Service Mesh共6款核心产品。本月更新重点聚焦于提升混合云网络连接能力、增强网络可观测性与安全性，并为AI/ML等高性能计算负载提供底层支持。 ## 各产品更新详情 ### VPC - **VPC Flow Logs 支持 `InstanceGroupDetails` 元数据 (GA):** 流日志现可包含实例组的详细信息，极大地增强了网络流量的可观测性，便于用户更精确地定位和分析来自特定实例组的流量，对安全审计和故障排查至关重要。详情请见 [InstanceGroupDetails](https://cloud.google.com/vpc/docs/about-flow-logs-records#instance-group-details)。 - **Private Service Connect (PSC) 全局接入端点已知问题:** 官方披露了一个关于PSC全局接入端点的已知问题，当消费者端点与生产者负载均衡器的全局访问设置不匹配时可能引发连接问题。建议用户在使用前进行确认，以避免服务中断。相关文档：[端点已知问题](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#global-access)、[发布的服务已知问题](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#global-access-service-attachments)。 - **PSC 区域端点支持 IPv6 (GA):** 用于访问区域化Google API的PSC端点现已支持配置IPv6地址，使IPv6客户端能够通过私有连接访问Google服务，这是推动云环境全面IPv6化的重要一步。详情请见 [为区域Google API配置PSC端点](https://cloud.google.com/vpc/docs/access-regional-google-apis-endpoints) 和 [配置IPv6地址](https://cloud.google.com/vpc/docs/access-regional-google-apis-endpoints#create-regional-endpoint)。 - **从 VPC Peering 无缝迁移至 PSC (Preview):** 服务提供商现在可以将通过VPC网络对等发布的服务迁移到Private Service Connect，且无需更改消费者用于访问服务的IP地址。此功能解决了迁移过程中的一大痛点，实现了向更安全、更可扩展的服务发布模型的平滑过渡。详情请见 [迁移对等服务至PSC](https://cloud.google.com/vpc/docs/about-migrating-peering-services-private-service-connect)。 - **支持 RDMA 的网络配置文件 (GA):** 为支持AI/ML等高性能计算（HPC）工作负载，GCP正式推出了网络配置文件资源，特别是支持**RDMA**（远程直接内存访问）的网络配置文件。这允许虚拟机实例利用RDMA网络接口，显著降低网络延迟和CPU开销。详情请见 [网络配置文件概述](https://cloud.google.com/vpc/docs/network-profiles) 和 [RDMA网络配置文件](https://cloud.google.com/vpc/docs/rdma-network-profiles)。 - **用于子网迁移的内部地址范围 (GA):** 用户可以创建使用类型为 `FOR_MIGRATION` 的内部地址范围，以辅助将CIDR范围从一个子网迁移到另一个子网，简化了网络重构和IP地址管理。详情请见 [迁移子网范围](https://cloud.google.com/vpc/docs/internal-ranges#for-migration)。 - **PSC 后端支持指定生产者端口 (GA):** 在创建连接到已发布服务的PSC后端时，可以直接在后端配置中指定生产者服务可用的端口，增强了连接的灵活性和精确性。详情请见 [包含生产者端口的后端配置](https://cloud.google.com/vpc/docs/access-apis-managed-services-private-service-connect-backends#neg-published-service) 和 [生产者端口配置](https://cloud.google.com/vpc/docs/about-vpc-hosted-services#producer-ports)。 - **VPC Flow Logs 支持混合连接 (GA):** VPC流日志现在可以对通过Cloud Interconnect的VLAN附件和Cloud VPN隧道的流量进行采样，将网络可观测性扩展到了混合云场景，对于监控和保护本地与云之间的数据流至关重要。详情请见 [配置VPC流日志](https://cloud.google.com/vpc/docs/using-flow-logs)。 ### Cloud Load Balancing - **RSA 证书要求变更预告:** 自2025年4月28日起，应用负载均衡器将强制校验后端TLS连接所用RSA证书的 **X509v3 Key Usage** 扩展，要求必须包含 `Digital Signature` 和 `Key Encipherment` 两个参数。此举旨在统一证书验证逻辑，提升安全性。用户需在此日期前检查并替换不合规的证书。详情请见 [RFC 5280 Key Usage](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.3)。 ### Cloud DNS - **DNS64 功能进入预览阶段 (Preview):** Cloud DNS 推出了 **DNS64** 功能的预览版。DNS64是IPv6过渡的关键技术，它允许仅支持IPv6的客户端通过合成AAAA记录来访问仅支持IPv4的服务，为构建IPv6优先的网络架构提供了便利。详情请见 [DNS64概述](https://cloud.google.com/dns/docs/overview#dns64-overview)。 ### Cloud Interconnect - **VLAN 附件带宽提升至 100 Gbps:** Dedicated Interconnect 和 Cross-Cloud Interconnect 的VLAN附件现在支持高达 _100 Gbps_ 的最大带宽，满足了大规模数据传输、高性能计算和媒体处理等场景对超高带宽的需求。详情请见 [限制](https://cloud.google.com/network-connectivity/docs/interconnect/quotas#limits)。 ### Network Connectivity Center - **与 VPC Spoke 的路由交换功能 (GA):** 此功能现已正式可用，允许在同一个Hub上连接VPC Spoke（VPC网络）和Hybrid Spoke（如Cloud Interconnect、VPN等），实现它们之间的动态路由交换。这使得Network Connectivity Center成为一个强大的云上中转枢纽，简化了复杂的混合云和多VPC网络拓扑。注意：通过Hybrid Spoke的出站流量将产生高级数据网络（ADN）费用。详情请见 [与VPC Spoke的路由交换](https://cloud.google.com/network-connectivity/docs/network-connectivity-center/concepts/dynamic-route-exchange-with-vpc-spokes)。 - **动态路由交换的已知问题:** 官方详细说明了动态路由交换中的一些复杂交互规则和限制，特别是在路由VPC网络本身也被配置为VPC Spoke时的场景，以及动态路由与静态路由的交互规则。网络架构师在设计时需仔细阅读以避免潜在的路由问题。 ### SERVICE-MESH - **版本更新与安全修复:** - 发布 **Cloud Service Mesh** `1.24.2-asm.1`，同步上游 **Istio** 1.24.2 的功能。详情请见 [Istio 1.24.2发布说明](https://istio.io/latest/news/releases/1.24.x/announcing-1.24.2/)。 - 发布 `1.23.4-asm.7`、`1.22.7-asm.4` 和 `1.21.5-asm.21` 等多个补丁版本，主要修复了一个可能导致拒绝服务攻击的[高危安全漏洞](https://github.com/advisories/GHSA-w32m-9786-jp63)，并解决了其他bug。 - 针对安全公告 [GCP-2024-065](https://cloud.google.com/service-mesh/docs/security-bulletins#gcp-2024-065) 的修复已推广至所有渠道。 ## 重点更新分析 1. **Network Connectivity Center 路由交换功能GA:** 这是本月最重要的发布之一。该功能将Network Connectivity Center从一个连接管理中心提升为功能完备的云原生中转路由器（Cloud Transit Router），直接对标AWS Transit Gateway和Azure Virtual WAN。它极大地简化了企业在GCP上构建大规模Hub-and-Spoke网络架构的复杂性，实现了本地数据中心、多VPC网络之间的无缝路由，是GCP网络服务走向成熟的重要标志。 2. **VPC Peering 到 PSC 的无缝迁移路径:** 这是一个解决实际客户痛点的关键功能。VPC Peering虽然简单，但在扩展性和安全性上存在局限，而Private Service Connect是更现代、更优秀的服务发布模型。提供一个不中断业务、无需更改客户端IP的迁移方案，将极大促进GCP生态内服务的现代化改造，降低了服务提供商的迁移阻力和成本。 3. **VPC 对 RDMA 的原生支持:** 随着AI大模型训练需求的爆发，高性能网络已成为关键瓶颈。GCP通过网络配置文件原生支持RDMA，为AI/ML和HPC工作负载提供了极致的低延迟和高吞吐量网络能力。这一举措使其在竞争激烈的AI基础设施市场中更具吸引力，能够更好地满足最前沿计算任务的需求。 ## 趋势洞察 - **企业级混合云网络能力持续深化:** 从Network Connectivity Center的路由交换功能GA，到VPC Flow Logs对混合连接的支持，GCP正不断强化其在复杂企业网络场景下的解决方案能力，致力于提供更简单、更强大、更易于管理的混合云和多云网络平台。 - **加速拥抱下一代技术架构:** 本月更新同时包含了对 **IPv6** (DNS64) 和 **AI/ML** (RDMA) 的关键支持。这表明GCP正在积极布局，为下一代互联网协议和颠覆性计算工作负载提供坚实的网络基础，帮助客户平滑过渡并抓住技术变革的机遇。 - **安全与可观测性成为内建能力:** 无论是对负载均衡器证书的更严格要求，还是对VPC流日志元数据的丰富，都体现了GCP将安全与可观测性作为产品设计核心要素的理念，旨在为用户提供一个默认安全且透明的网络环境。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # GCP网络服务月度更新 - 2025-01 **发布时间:** 2025-01-01 **厂商:** Google Cloud Platform **产品线:** 网络服务 **类型:** 月度更新汇总 **产品数量:** 6 个 **总更新数量:** 18 条 --- ## 产品更新概览 | 产品 | 更新数量 | 主要更新内容 | |---|---|---| | VPC | 8条 | VPC 流日志元数据注解包含 InstanceGroupDetails；全局访问端点的已知问题；用于区域级 Google API 的 Private Service Connect 端点等8项更新 | | Cloud Load Balancing | 1条 | RSA 证书要求将于2025年4月28日变更 | | Cloud DNS | 1条 | DNS64 现已推出预览版。 | | Cloud Interconnect | 1条 | 专用互连和跨云互连支持高达 100 Gbps 的带宽 | | Network Connectivity Center | 2条 | 动态路由交换的已知问题；与 VPC Spoke 的路由交换功能正式发布 | | SERVICE-MESH | 5条 | 1.24.2-asm.1 版本发布；1.23.4-asm.7 安全更新；1.22.7-asm.4 安全更新等5项更新 | --- ## VPC 产品更新 **更新数量:** 8 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | VPC 流日志元数据注解包含 InstanceGroupDetails | Feature | 2025-01-27 | | 2 | 全局访问端点存在已知问题 | Issue | 2025-01-27 | | 3 | 用于区域级 Google API 的 Private Service Connect 端点 | Feature | 2025-01-16 | | 4 | 服务生产者可将服务从 VPC 网络对等互连迁移至 Private Service Connect | Feature | 2025-01-15 | | 5 | 网络配置文件资源和 RDMA 网络配置文件正式发布 | Feature | 2025-01-15 | | 6 | 可创建用途类型为 FOR_MIGRATION 的内部范围 | Feature | 2025-01-15 | | 7 | Private Service Connect 后端可指定生产者端口 | Feature | 2025-01-15 | | 8 | VPC 流日志可对 VLAN 连接和 VPN 隧道的流量进行采样 | Feature | 2025-01-14 | ### 详细更新内容 #### 1. VPC 流日志 (VPC Flow Logs) 的元数据注解现已包含 InstanceGroupDetails。此功能已 **发布日期:** 2025-01-27 **更新类型:** Feature **功能描述:** VPC 流日志 (VPC Flow Logs) 的元数据注解现已包含 `InstanceGroupDetails`。此功能已正式发布 (General Availability)。 **相关文档:** - [InstanceGroupDetails](https://cloud.google.com/vpc/docs/about-flow-logs-records#instance-group-details) --- #### 2. 访问通过内部直通式网络负载均衡器或内部协议转发 (目标实例) 发布的服务时，全局访问端点存在一个已知问题 **发布日期:** 2025-01-27 **更新类型:** Issue **功能描述:** 访问通过内部直通式网络负载均衡器 (internal passthrough Network Load Balancers) 或内部协议转发 (internal protocol forwarding) (目标实例 (target instances)) 发布的服务时，全局访问端点 (global access endpoints) 存在一个已知问题。Private Service Connect 不会验证端点上的全局访问设置是否与生产者负载均衡器上的设置匹配。我们建议如下： - 如果您是服务消费者 (service consumer)，只有在确认生产者的负载均衡器已配置为全局访问时，才在端点上启用全局访问。更多信息，请参阅端点已知问题。 - 如果您是服务生产者 (service producer)，且您的服务托管在内部直通式网络负载均衡器或内部协议转发 (目标实例) 上，并通过全局访问端点进行访问，请确保在您服务的负载均衡器上启用了全局访问。更多信息，请参阅已发布服务的已知问题。 **相关文档:** - [Known issues](https://cloud.google.com/vpc/docs/configure-private-service-connect-services#global-access) - [Known issues](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer#global-access-service-attachments) --- #### 3. 用于区域级 Google API 的 Private Service Connect 端点 (endpoints) 现可配置 **发布日期:** 2025-01-16 **更新类型:** Feature **功能描述:** 用于区域级 Google API 的 Private Service Connect 端点 (endpoints) 现可配置 IPv6 地址，以支持来自 IPv6 客户端的访问。此功能已正式发布 (General Availability)。 **相关文档:** - [Private Service Connect endpoints for regional Google APIs](https://cloud.google.com/vpc/docs/access-regional-google-apis-endpoints) - [configured with IPv6 addresses](https://cloud.google.com/vpc/docs/access-regional-google-apis-endpoints#create-regional-endpoint) --- #### 4. 如果您是服务生产者 (service producer)，通过 VPC 网络对等互连 (VPC Network Peering) 提供服务 **发布日期:** 2025-01-15 **更新类型:** Feature **功能描述:** 如果您是服务生产者 (service producer)，通过 VPC 网络对等互连 (VPC Network Peering) 提供服务，现在可以将您的服务迁移到 Private Service Connect，而无需更改消费者用于访问该服务的 IP 地址。此功能目前为预览版 (Preview)。 **相关文档:** - [migrate your service to Private Service Connect](https://cloud.google.com/vpc/docs/about-migrating-peering-services-private-service-connect) --- #### 5. 网络配置文件 (network profile) 资源和 RDMA 网络配置文件现已正式发布 **发布日期:** 2025-01-15 **更新类型:** Feature **功能描述:** 网络配置文件 (network profile) 资源和 RDMA 网络配置文件现已正式发布 (General Availability)。您可以创建带有 RDMA 网络配置文件的 VPC 网络，从而在具有 RDMA 网络接口 (NICs) 的虚拟机 (VM) 实例上运行 AI 工作负载。更多信息，请参阅以下文档： - 网络配置文件概述 - RDMA 网络配置文件 **相关文档:** - [Network profiles overview](https://cloud.google.com/vpc/docs/network-profiles) - [RDMA network profile](https://cloud.google.com/vpc/docs/rdma-network-profiles) --- #### 6. 您可以创建一个用途类型为 FOR_MIGRATION 的内部范围，以迁移一个 CIDR **发布日期:** 2025-01-15 **更新类型:** Feature **功能描述:** 您可以创建一个用途类型为 `FOR_MIGRATION` 的内部范围，以便将一个 CIDR 范围从一个子网迁移到另一个子网。更多信息，请参阅迁移子网范围。此功能已正式发布 (General Availability)。 **相关文档:** - [Migrating subnet ranges](https://cloud.google.com/vpc/docs/internal-ranges#for-migration) --- #### 7. 如果您创建了一个 Private Service Connect 后端 (backend) 来连接到一个已发布的服务 **发布日期:** 2025-01-15 **更新类型:** Feature **功能描述:** 如果您创建了一个 Private Service Connect 后端 (backend) 来连接到一个已发布的服务，并且生产者已告知您该服务在哪个端口上可用，您可以在后端配置中包含生产者端口。 关于生产者配置的更多信息，请参阅生产者端口配置。 在 Private Service Connect 后端中指定生产者端口的功能已正式发布 (General Availability)。 **相关文档:** - [include the producer port in the backend configuration](https://cloud.google.com/vpc/docs/access-apis-managed-services-private-service-connect-backends#neg-published-service) - [Producer port configuration](https://cloud.google.com/vpc/docs/about-vpc-hosted-services#producer-ports) --- #### 8. VPC 流日志 (VPC Flow Logs) 可以对通过 Cloud Interconnect 的 VLAN 连接 (VLAN attachments) 和 Cloud VPN 隧道 **发布日期:** 2025-01-14 **更新类型:** Feature **功能描述:** VPC 流日志 (VPC Flow Logs) 可以对通过 Cloud Interconnect 的 VLAN 连接 (VLAN attachments) 和 Cloud VPN 隧道 (Cloud VPN tunnels) 发送的流量进行采样。此功能已正式发布 (General Availability)。要为 VLAN 连接和 Cloud VPN 隧道启用 VPC 流日志，请参阅配置 VPC 流日志。 **相关文档:** - [Configure VPC Flow Logs](https://cloud.google.com/vpc/docs/using-flow-logs) --- ## Cloud Load Balancing 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | RSA 证书要求将于2025年4月28日变更 | Announcement | 2025-01-24 | ### 详细更新内容 #### 1. RSA 证书要求将于2025年4月28日变更。我们将调整 **发布日期:** 2025-01-24 **更新类型:** Announcement **功能描述:** RSA 证书要求将于2025年4月28日变更。 我们将调整应用负载均衡器 (Application Load Balancers) 与后端建立 TLS 连接的方式。此变更修复了一个问题，即 RSA 证书的 `keyUsage` 扩展未被一致地验证，可能导致本应基于 `keyUsage` 配置而被拒绝的证书被接受。 **您需要做什么** 自2025年4月28日起，不符合 `keyUsage` 配置要求的 RSA 证书将不再被视为建立 TLS 连接的有效证书。我们建议您检查后端的 RSA 证书是否无效，并在必要时更换为有效证书。 一个有效的 RSA 证书是指具有 X509v3 密钥用法 (Key Usage) 扩展且同时包含数字签名 (Digital Signature) 和密钥加密 (Key Encipherment) 参数的证书。 要识别无效的 RSA 证书，请执行以下步骤： 首先，运行以下命令确认证书类型为 RSA。 ``` openssl x509 -text -in cert.crt | grep "Public Key Algorithm" ``` 对于 RSA 证书，此命令应输出 `rsaEncryption`。如果是非 RSA 证书 (例如 EC)，您目前无需采取任何进一步操作。 如果是 RSA 证书，请运行以下命令检查密钥用法配置： ``` openssl x509 -text -in cert.crt | grep -A1 "X509v3 Key Usage" ``` 对于有效的 RSA 证书，正确的值应为 `Digital Signature, Key Encipherment`。如果缺少其中任何一个值，则该 RSA 证书无效。 关于 X.509 证书格式的更多信息，请参阅 RFC 5280 密钥用法。 **相关文档:** - [RFC 5280 Key Usage](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.3) --- ## Cloud DNS 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | DNS64 现已推出预览版。 | Feature | 2025-01-30 | ### 详细更新内容 #### 1. DNS64 现已推出预览版 (Preview)。 **发布日期:** 2025-01-30 **更新类型:** Feature **功能描述:** DNS64 现已推出预览版 (Preview)。 **相关文档:** - [DNS64](https://cloud.google.com/dns/docs/overview#dns64-overview) - [Preview](https://cloud.google.com/products/#product-launch-stages) --- ## Cloud Interconnect 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | 专用互连和跨云互连 VLAN 连接支持的最大带宽 | Change | 2025-01-22 | ### 详细更新内容 #### 1. 专用互连 (Dedicated Interconnect) 和跨云互连 (Cross-Cloud Interconnect) 的 VLAN 连接 (VLAN attachments) 支持的最大带宽 **发布日期:** 2025-01-22 **更新类型:** Change **功能描述:** 专用互连 (Dedicated Interconnect) 和跨云互连 (Cross-Cloud Interconnect) 的 VLAN 连接 (VLAN attachments) 支持的最大带宽已提升至 100 Gbps。更多信息，请参阅限制。 **相关文档:** - [Limits](https://cloud.google.com/network-connectivity/docs/interconnect/quotas#limits) --- ## Network Connectivity Center 产品更新 **更新数量:** 2 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | 动态路由交换的已知问题 | Issue | 2025-01-30 | | 2 | 与 VPC Spoke 的路由交换功能正式发布 | Feature | 2025-01-30 | ### 详细更新内容 #### 1. 关于动态路由交换，请注意以下已知问题：同时作为 VPC Spoke 的路由 VPC 网络 **发布日期:** 2025-01-30 **更新类型:** Issue **功能描述:** 关于动态路由交换，请注意以下已知问题： - **同时作为 VPC Spoke 的路由 VPC 网络**：一个路由 VPC 网络 (routing VPC network) 通常应包含混合 Spoke (hybrid spokes)。但是，如果您将一个路由 VPC 网络配置为 VPC Spoke，则适用以下限制： - 仅当 Hub 上没有其他路由 VPC 网络时，一个路由 VPC 网络才可以同时作为 VPC Spoke。只有当所有路由 VPC 网络都不是 VPC Spoke 时，一个 Hub 才支持两个或更多的路由 VPC 网络。 - 对于同时也是 VPC Spoke 的路由 VPC 网络中的混合 Spoke，站点到站点数据传输 (site-to-site data transfer) 设置不会生效。 - **动态路由交互规则**：在一个路由 VPC 网络中，对于每个下一跳在混合 Spoke 中的唯一动态路由目的地，您必须确保所有其他目的地完全匹配或包含在该唯一动态路由目的地内的动态路由 (无论优先级如何)，其下一跳 Cloud VPN 隧道或 VLAN 连接也位于混合 Spoke 中。此外，您必须确保这些混合 Spoke 使用相同的站点到站点数据传输设置 (启用或禁用)。 - 如果具有共同目的地的动态路由只有部分下一跳位于混合 Spoke 中，网络连接中心 (Network Connectivity Center) 将无法可靠地与 Hub 上的 VPC Spoke 交换使用该目的地的动态路由。因此，VPC Spoke 可能无法接收到这些动态路由。 - 如果一些混合 Spoke 启用了站点到站点数据传输，而另一些禁用了该功能，网络连接中心不会在所有混合 Spoke 动态路由的下一跳之间执行 ECMP。如果具有共同目的地的动态路由位于站点到站点数据传输设置不匹配的混合 Spoke 中，那么用于站点到站点数据传输或 VPC Spoke 与本地网络之间连接的下一跳可能不符合您的预期。 - **动态路由和静态路由交互规则**：在一个路由 VPC 网络中，对于每个下一跳在混合 Spoke 中的唯一动态路由目的地，您必须确保不存在任何目的地完全匹配或包含在该动态路由目的地内的本地静态路由 (无论优先级如何)。 - 如果路由 VPC 网络中的本地静态路由与混合 Spoke 动态路由具有相同的目的地，VPC Spoke 可能会失去到该动态路由目的地的连接。 - 如果路由 VPC 网络中的本地静态路由的目的地包含在混合 Spoke 动态路由的目的地内，VPC Spoke 将失去到该静态路由目的地的连接。 --- #### 2. 与 VPC Spoke 的路由交换功能现已正式发布 (generally available)。此功能允许您连接 **发布日期:** 2025-01-30 **更新类型:** Feature **功能描述:** 与 VPC Spoke 的路由交换功能现已正式发布 (generally available)。此功能允许您在同一个 Hub 上连接 VPC Spoke 和混合 Spoke (hybrid spokes)，例如 Cloud Interconnect VLAN 连接、高可用性 VPN (HA VPN) 隧道和路由器设备 (Router appliance) 虚拟机。 请注意，对于源自 Google Cloud Platform 并通过混合 Spoke 出站的流量，系统将向您收取高级数据网络 (Advanced Data Networking, ADN) 的费用。 **相关文档:** - [Route exchange with VPC spokes](https://cloud.google.com/network-connectivity/docs/network-connectivity-center/concepts/dynamic-route-exchange-with-vpc-spokes) - [generally available](https://cloud.google.com/products#product-launch-stages) --- ## SERVICE-MESH 产品更新 **更新数量:** 5 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | 1.24.2-asm.1 现已可用于集群内 Cloud Service Mesh | Announcement | 2025-01-16 | | 2 | 1.23.4-asm.7 现已可用于集群内 Cloud Service Mesh | Security | 2025-01-15 | | 3 | 1.22.7-asm.4 现已可用于集群内 Cloud Service Mesh | Security | 2025-01-15 | | 4 | 1.21.5-asm.21 现已可用于集群内 Cloud Service Mesh | Security | 2025-01-15 | | 5 | 针对 GCP-2024-065 的 CVE 修复已推广至所有渠道 | Announcement | 2025-01-10 | ### 详细更新内容 #### 1. 1.24.2-asm.1 现已可用于集群内 Cloud Service Mesh。您现在可以下载 **发布日期:** 2025-01-16 **更新类型:** Announcement **功能描述:** 1.24.2-asm.1 现已可用于集群内 Cloud Service Mesh。 您现在可以下载用于集群内 Cloud Service Mesh 的 1.24.2-asm.1 版本。它包含了 Istio 1.24.2 的功能，但受限于支持的功能列表。 - 不支持 Istio 的双栈 (dual-stack) 功能。 - 不支持 Istio 用于启用 Envoy 统计信息延迟子集创建的实验性功能。 有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh 1.24.2-asm.1 版本使用 Envoy v1.32.3。 **相关文档:** - [Istio 1.24.2](https://istio.io/latest/news/releases/1.24.x/announcing-1.24.2/) - [supported features](https://cloud.google.com/service-mesh/docs/supported-features-in-cluster) - [Upgrade Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- #### 2. 1.23.4-asm.7 现已可用于集群内 Cloud Service Mesh。此补丁版本 **发布日期:** 2025-01-15 **更新类型:** Security **功能描述:** 1.23.4-asm.7 现已可用于集群内 Cloud Service Mesh。 此补丁版本修复了 Envoy 配置中的一个错误，该错误导致 `opencensus.proto.trace.v1.TraceConfig` 被默认禁用；同时修复了导致 VirtualService 标头名称验证拒绝有效标头名称的问题。 此补丁版本还包含一个安全漏洞的修复，该漏洞允许攻击者构造一个输入到 Parse 函数，该输入会以非线性方式处理其长度，导致解析速度极慢。 有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh v1.23.4-asm.7 使用 Envoy v1.31.5。 **相关文档:** - [an attacker can craft an input to the Parse functions that would be processed non-linearly with respect to its length, resulting in extremely slow parsing](https://github.com/advisories/GHSA-w32m-9786-jp63) - [Upgrade Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- #### 3. 1.22.7-asm.4 现已可用于集群内 Cloud Service Mesh。此补丁版本 **发布日期:** 2025-01-15 **更新类型:** Security **功能描述:** 1.22.7-asm.4 现已可用于集群内 Cloud Service Mesh。 此补丁版本包含一个安全漏洞的修复，该漏洞允许攻击者构造一个输入到 Parse 函数，该输入会以非线性方式处理其长度，导致解析速度极慢。 有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。 Cloud Service Mesh 1.22.7-asm.4 版本使用 Envoy v1.30.9。 **相关文档:** - [an attacker can craft an input to the Parse functions that would be processed non-linearly with respect to its length, resulting in extremely slow parsing](https://github.com/advisories/GHSA-w32m-9786-jp63) - [Upgrade Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- #### 4. 1.21.5-asm.21 现已可用于集群内 Cloud Service Mesh。此补丁版本 **发布日期:** 2025-01-15 **更新类型:** Security **功能描述:** 1.21.5-asm.21 现已可用于集群内 Cloud Service Mesh。 此补丁版本修复了一个错误，该错误导致在 Gateway 和 TLS 重定向中使用混合大小写的主机名时，会产生过时的 RDS。 此补丁版本还包含一个安全漏洞的修复，该漏洞允许攻击者构造一个输入到 Parse 函数，该输入会以非线性方式处理其长度，导致解析速度极慢。 有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh v1.21.5-asm.21 使用 Envoy v1.29.12。 **相关文档:** - [mixed case hosts in Gateway and TLS redirect results in stale RDS](https://github.com/istio/istio/issues/49638) - [an attacker can craft an input to the Parse functions that would be processed non-linearly with respect to its length, resulting in extremely slow parsing](https://github.com/advisories/GHSA-w32m-9786-jp63) - [Upgrade Cloud Service Mesh](https://cloud.google.com/service-mesh/v1.21/docs/upgrade/upgrade) --- #### 5. 针对 GCP-2024-065 的 CVE 修复已推广至所有渠道。 **发布日期:** 2025-01-10 **更新类型:** Announcement **功能描述:** 针对 GCP-2024-065 的 CVE 修复已推广至所有渠道。 **相关文档:** - [GCP-2024-065](https://cloud.google.com/service-mesh/docs/security-bulletins#gcp-2024-065) --- ## 数据来源 本文档内容来源于GCP官方Release Notes页面，具体更新详情请访问: - https://cloud.google.com/dns/docs/release-notes - https://cloud.google.com/load-balancing/docs/release-notes - https://cloud.google.com/network-connectivity/docs/interconnect/release-notes - https://cloud.google.com/network-connectivity/docs/network-connectivity-center/release-notes - https://cloud.google.com/service-mesh/docs/release-notes - https://cloud.google.com/vpc/docs/release-notes **生成时间:** 2025-12-22 10:55:21 <!-- AI_TASK_END: AI全文翻译 -->