GCP 网络服务 2025 年 9 月更新

**发布时间:** 2025-09-01 **厂商:** Google Cloud Platform **类型:** 月度更新汇总 --- <!-- AI_TASK_START: AI标题翻译 --> GCP 网络服务 2025 年 9 月更新 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 月度更新概览 ## 更新总览 Google Cloud Platform (GCP) 在2025年9月针对其网络服务产品线发布了25项更新，涉及7款核心产品。本次更新的重点在于增强 **高性能计算 (HPC)** 与 **AI** 负载的网络能力、提升企业级安全与治理功能，并深化GCP生态内各服务间的集成。更新类型涵盖了新功能发布（GA和Preview）、安全修复、行为变更及版本公告。 ## 各产品更新详情 ### VPC - **VPC Flow Logs 功能正式可用 (GA):** - 新增对 **RDMA over Falcon** 传输协议的日志记录支持，并提升了TCP和Falcon流量的往返时间（RTT）精度，为高性能计算场景提供了更精细的网络可观测性。相关文档：[RDMA over Falcon transport](https://cloud.google.com/vpc/docs/rdma-network-profiles#overview), [About VPC Flow Logs records](https://cloud.google.com/vpc/docs/about-flow-logs-records#record_format)。 - 通过 **Network Management API**，现已支持在组织、VPC网络和子网三个层级上启用VPC Flow Logs，极大地简化了大规模环境下的集中化网络监控与合规审计策略部署。相关文档：[Supported configurations](https://cloud.google.com/vpc/docs/flow-logs#configurations)。 - **Private Service Connect 功能增强 (GA):** - 服务发布方现可将托管在 **跨区域内部应用负载均衡器** 上的服务通过Private Service Connect发布。这一更新打破了地域限制，使得构建高可用的多区域托管服务架构更为灵活和简便。相关文档：[Publish services by using Private Service Connect](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer)。 - **支持 RDMA over Falcon 的 VPC 网络 (Preview):** - 用户可以创建支持 **RDMA over Falcon** 传输协议的VPC网络。此功能专为AI和HPC工作负载设计，配合带有 **iRDMA** 网络接口的虚拟机（如H4D实例），可实现低延迟、高吞吐量的直接内存访问，显著加速分布式计算任务。相关文档：[RDMA network profiles](https://cloud.google.com/vpc/docs/rdma-network-profiles)。 ### Cloud Load Balancing - **安全修复:** - 针对 `Transfer-Encoding: Chunked` 请求头的处理行为进行了安全修复，使其更严格地遵循 **RFC 9112** 规范。此举增强了负载均衡器的协议健壮性和安全性。相关文档：[RFC states](https://datatracker.ietf.org/doc/html/rfc9112#name-chunked-transfer-coding)。 - **协议协商行为变更:** - 全球和经典外部应用负载均衡器在 **ALPN (Application-Layer Protocol Negotiation)** 协商过程中，现已明确支持HTTP/1.0协议。这改善了与部分旧客户端的兼容性，使其能够得到明确的协议确认。 ### Cloud DNS - **别名记录 (Alias Records) 正式可用 (GA):** - 推出自定义的 **别名记录** 类型，该功能在根域名（Zone Apex）上提供了类似 **CNAME** 的功能。它解决了标准DNS规范中根域名无法指向CNAME的限制，使得用户可以直接将根域名指向GCP负载均衡器等资源，简化了DNS架构。相关文档：[Alias records](https://cloud.google.com/dns/docs/records-overview#alias-records)。 ### Cloud NAT - **基于源的NAT规则 (Preview):** - 公网NAT网关现已支持基于源IPv4地址配置NAT规则。该功能允许用户根据流量的来源（如特定的VM或子网）应用不同的NAT策略，提供了更精细化的出站流量管理能力。相关文档：[source-based NAT rules](https://cloud.google.com/nat/docs/nat-rules-overview)。 ### Cloud VPN - **可自定义的加密套件选项 (GA):** - Cloud VPN通道现支持用户自定义加密套件（Cipher）。用户可以根据自身的安全合规要求，选择特定的加密算法和协议，从而增强VPN连接的安全性。相关文档：[Configure ciphers in Cloud VPN tunnel](https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview#configure-ciphers)。 ### Cloud Armor - **边缘安全策略功能增强 (GA):** - 全局范围的边缘安全策略现已正式支持基于 **自治系统编号 (ASN)** 的流量过滤，可用于保护Media CDN等边缘服务。 - 边缘安全策略正式集成 **网络威胁情报 (NTI)**，利用Google的威胁情报数据自动阻止恶意来源的流量。 - **组织范围的地址组 (GA):** - 正式支持在组织级别创建和管理地址组。这使得企业可以在整个组织内共享和复用IP地址列表，简化了多项目环境下的安全策略管理。相关文档：[organization-scoped address groups](https://cloud.google.com/armor/docs/address-groups-overview#organization-scoped-address-group)。 ### Cloud Service Mesh - **跨服务路由能力 (GA):** - **Service Routing API** 现已正式支持在Cloud Run、Google Kubernetes Engine (GKE) 和 Google Compute Engine (GCE) 服务之间配置流量路由，实现了跨不同计算平台的统一服务网格治理。相关文档：[Cloud Service Mesh service routing APIs](https://cloud.google.com/service-mesh/docs/configure-cloud-service-mesh-for-cloud-run#service_to_service)。 - **托管控制平面变更:** - 快速发布渠道（Rapid release channel）的托管Cloud Service Mesh将开始使用内部维护的 **Envoy** 代理版本，旨在进一步优化性能和集成。 - **重要弃用声明:** - 宣布将于2027年3月17日终止对 GKE on AWS、GKE on Azure、EKS Attached Clusters 和 Azure Attached Clusters with AKS 的支持。这标志着GCP在多云服务网格策略上的重大调整。 - **版本更新与安全修复:** - 发布了多个基于新版Istio的in-cluster Cloud Service Mesh版本，如 `1.27.1-asm.2`。 - 发布了大量的 **CVE** 安全补丁，覆盖代理（Envoy）、控制平面和CNI等多个组件，持续加固服务网格的安全性。 ## 重点更新分析 1. **VPC网络原生支持RDMA：为AI/HPC铺设高速公路** - 本月最大的亮点是VPC网络开始预览支持 **RDMA over Falcon**。**RDMA (远程直接内存访问)** 是一种允许网络中的计算机直接访问彼此内存的技术，它绕过了操作系统内核，极大地降低了网络延迟并提高了吞吐量。此功能是运行大规模分布式AI训练和HPC模拟等延迟敏感型工作负载的关键。这表明GCP正在从底层网络基础设施层面全面发力，与AWS的EFA和Azure的InfiniBand展开直接竞争，旨在打造顶级的AI基础设施平台。 2. **Cloud DNS别名记录GA：解决长期痛点，优化开发者体验** - **别名记录** 的正式发布，解决了DNS领域一个长期存在的难题：根域名（如 `example.com`）无法使用CNAME记录。过去，用户需要通过复杂的重定向服务或使用A记录手动管理IP，操作繁琐且不利于高可用。别名记录的出现，允许用户像使用CNAME一样，将根域名直接指向负载均衡器等动态资源，显著简化了架构设计并提升了运维效率，是开发者体验上的一次重要飞跃。 3. **Cloud Service Mesh战略调整：深化内部集成，重塑多云策略** - 本月Service Mesh的更新揭示了GCP的双重战略。一方面，通过打通Cloud Run、GKE和GCE之间的路由，GCP正在构建一个无缝集成的内部服务生态系统，强化其平台黏性。另一方面，宣布弃用对AWS和Azure上托管Kubernetes集群的支持，这是一个重大的战略收缩。这可能意味着GCP将把多云管理的重心完全押注在 **Anthos** 上，而非在Service Mesh产品中直接兼容其他云。现有客户需要为此战略转变提前规划迁移路径。 ## 趋势洞察 - **AI基础设施持续加码:** 以RDMA网络支持为代表，GCP正不遗余力地从计算、存储到网络全方位优化其AI基础设施，巩固其在AI领域的领先地位。 - **企业级治理与安全成为焦点:** 组织级的Cloud Armor策略、可定制的VPN加密以及大规模的VPC Flow Logs管理能力，均显示出GCP正积极满足大型企业对集中化管控、安全合规的迫切需求。 - **生态集成与战略聚焦并行:** GCP在努力打破其内部产品（GKE, GCE, Cloud Run）壁垒，创造更统一的开发体验的同时，也在重新审视和聚焦其多云战略，更加强调以Anthos为核心的控制平面方案。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # GCP网络服务月度更新 - 2025-09 **发布时间:** 2025-09-01 **厂商:** Google Cloud Platform **产品线:** 网络服务 **类型:** 月度更新汇总 **产品数量:** 7 个 **总更新数量:** 25 条 --- ## 产品更新概览 | 产品 | 更新数量 | 主要更新内容 | |---|---|---| | VPC | 4条 | VPC 流日志 (VPC Flow Logs) 的以下功能...; VPC 流日志 (VPC Flow Logs) 的以下功能...; 服务提供方可以发布服务... 等4项更新 | | Cloud Load Balancing | 2条 | 进行了一项安全修复，改变了...; 全球和经典外部应用负载均衡器... | | Cloud DNS | 1条 | 别名记录 (Alias records) 已正式发布 (GA)。此自定义... | | Cloud NAT | 1条 | 用于公共 NAT (Public NAT) 的 Cloud NAT 网关支持... | | Cloud VPN | 1条 | Cloud VPN 支持可自定义的加密套件... | | Cloud Armor | 3条 | Cloud Armor 对自治系统编号 (Autonomous System Numbers) 的支持...; Cloud Armor 对网络威胁情报 (Network Threat Intelligence) 的支持...; Cloud Armor 支持组织范围的... | | SERVICE-MESH | 13条 | 您现在可以使用...配置流量路由...; 采用 TD 控制平面的托管式 Cloud Service Mesh...; CVECNIMDP ControllerCVE-2025-4802YesYesC... 等13项更新 | --- ## VPC 产品更新 **更新数量:** 4 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | VPC 流日志 (VPC Flow Logs) 的以下功能已正式发布 (General Availability): 日志记录 | Feature | 2025-09-26 | | 2 | VPC 流日志 (VPC Flow Logs) 的以下功能已通过网络管理 API (Network Management API) 正式发布 (General Availability) | Feature | 2025-09-25 | | 3 | 服务提供方可以发布托管在跨区域内部应用负载均衡器 (Application Load Balancers) 上的服务 | Feature | 2025-09-23 | | 4 | 您可以创建一个支持基于 Falcon 传输协议的 RDMA 的 VPC 网络 | Feature | 2025-09-12 | ### 详细更新内容 #### 1. VPC 流日志 (VPC Flow Logs) 的以下功能已正式发布 (General Availability): 日志记录 **发布日期:** 2025-09-26 **更新类型:** Feature **功能描述:** VPC 流日志 (VPC Flow Logs) 的以下功能已正式发布 (General Availability): 针对基于 Falcon 传输协议的 RDMA 的日志记录、增强了 TCP 和 Falcon 流量的往返时间 (round-trip time) 精度。更多信息请参阅“关于 VPC 流日志记录”。 **相关文档:** - [基于 Falcon 传输协议的 RDMA](https://cloud.google.com/vpc/docs/rdma-network-profiles#overview) - [关于 VPC 流日志记录](https://cloud.google.com/vpc/docs/about-flow-logs-records#record_format) --- #### 2. VPC 流日志 (VPC Flow Logs) 的以下功能已通过网络管理 API (Network Management API) 正式发布 (General Availability) **发布日期:** 2025-09-25 **更新类型:** Feature **功能描述:** VPC 流日志 (VPC Flow Logs) 的以下功能已通过网络管理 API (Network Management API) 正式发布 (General Availability): 为组织启用 VPC 流日志、为 VPC 网络启用 VPC 流日志、为子网启用 VPC 流日志。更多信息请参阅“支持的配置”。 **相关文档:** - [为组织启用 VPC 流日志](https://cloud.google.com/vpc/docs/using-flow-logs#enable-organization) - [为 VPC 网络启用 VPC 流日志](https://cloud.google.com/vpc/docs/using-flow-logs#enable-network) - [为子网启用 VPC 流日志](https://cloud.google.com/vpc/docs/using-flow-logs#network-management) - [支持的配置](https://cloud.google.com/vpc/docs/flow-logs#configurations) --- #### 3. 服务提供方可以发布托管在跨区域内部应用负载均衡器 (Application Load Balancers) 上的服务 **发布日期:** 2025-09-23 **更新类型:** Feature **功能描述:** 服务提供方可以发布托管在跨区域内部应用负载均衡器 (Application Load Balancers) 上的服务。此功能已正式发布 (General Availability)。更多信息请参阅“使用 Private Service Connect 发布服务”。 **相关文档:** - [跨区域内部应用负载均衡器](https://cloud.google.com/load-balancing/docs/l7-internal) - [使用 Private Service Connect 发布服务](https://cloud.google.com/vpc/docs/configure-private-service-connect-producer) --- #### 4. 您可以创建一个支持基于 Falcon 传输协议的 RDMA 的 VPC 网络 **发布日期:** 2025-09-12 **更新类型:** Feature **功能描述:** 您可以创建一个支持基于 Falcon 传输协议的 RDMA 的 VPC 网络，这使您可以在 Google Cloud 中具有 IRDMA 网络接口类型的虚拟机 (VM) 实例 (例如 H4D 实例) 上运行 AI 和高性能计算 (high performance computing, HPC) 工作负载。此功能目前为预览版 (Preview)。更多信息请参阅“RDMA 网络配置文件”。 **相关文档:** - [Falcon 传输协议](https://cloud.google.com/blog/topics/systems/introducing-falcon-a-reliable-low-latency-hardware-transport) - [RDMA 网络配置文件](https://cloud.google.com/vpc/docs/rdma-network-profiles) --- ## Cloud Load Balancing 产品更新 **更新数量:** 2 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | 进行了一项安全修复，改变了使用 Transfer-Encoding: Chunked 标头发送的请求和响应的行为 | Security | 2025-09-17 | | 2 | 在 Google 前端 (GFEs) 上实现的全球和经典外部应用负载均衡器 (Application Load Balancers) | Change | 2025-09-12 | ### 详细更新内容 #### 1. 进行了一项安全修复，改变了使用 Transfer-Encoding: Chunked 标头发送的请求和响应的行为 **发布日期:** 2025-09-17 **更新类型:** Security **功能描述:** 进行了一项安全修复，改变了使用 `Transfer-Encoding: Chunked` 标头发送的请求和响应的行为，使其更符合 RFC 9112 规范。该 RFC 规定 `chunked_body` 和 `last-chunk` 字段都必须以 CRLF 结尾。此规则现已强制执行。 **相关文档:** - [RFC 规范](https://datatracker.ietf.org/doc/html/rfc9112#name-chunked-transfer-coding) --- #### 2. 在 Google 前端 (GFEs) 上实现的全球和经典外部应用负载均衡器 (Application Load Balancers) **发布日期:** 2025-09-12 **更新类型:** Change **功能描述:** 在 Google 前端 (Google Front-Ends, GFEs) 上实现的全球和经典外部应用负载均衡器 (Application Load Balancers) 现在在应用层协议协商 (Application-Layer Protocol Negotiation, ALPN) 过程中明确支持 HTTP/1.0 作为协议。此前，当 GFE 不明确支持 HTTP/1.0 时，会返回 `SSL_TLSEXT_ERR_NOACK` 响应，禁用 ALPN，并回退到使用 HTTP/1 (包括 HTTP/1.0 和 HTTP/1.1) 作为默认应用协议。此变更后，GFE 将返回 `HTTP/1.0`，为客户端提供了其通告的 `HTTP/1.0` 已被接受的明确确认。您无需因此更新做任何更改。如果使用 HTTP/1.0 的 TLS 握手失败，请联系技术支持。 **相关文档:** - [技术支持](https://cloud.google.com/load-balancing/docs/getting-support) --- ## Cloud DNS 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | 别名记录 (Alias records) 已正式发布 (GA) | Feature | 2025-09-30 | ### 详细更新内容 #### 1. 别名记录 (Alias records) 已正式发布 (GA) **发布日期:** 2025-09-30 **更新类型:** Feature **功能描述:** 别名记录 (Alias records) 已正式发布 (GA)。这种自定义记录类型在区域顶点 (zone apex) 提供了类似 CNAME 的功能，将顶点域名映射到一个规范目标。 **相关文档:** - [别名记录](https://cloud.google.com/dns/docs/records-overview#alias-records) - [GA](https://cloud.google.com/products#product-launch-stages) --- ## Cloud NAT 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | 用于公共 NAT (Public NAT) 的 Cloud NAT 网关支持基于源的 NAT 规则 (source-based NAT rules) | Feature | 2025-09-23 | ### 详细更新内容 #### 1. 用于公共 NAT (Public NAT) 的 Cloud NAT 网关支持针对 IPv4 地址的基于源的 NAT 规则 (source-based NAT rules) **发布日期:** 2025-09-23 **更新类型:** Feature **功能描述:** 用于公共 NAT (Public NAT) 的 Cloud NAT 网关支持针对 IPv4 地址的基于源的 NAT 规则 (source-based NAT rules)。此功能目前为预览版 (Preview)。 **相关文档:** - [基于源的 NAT 规则](https://cloud.google.com/nat/docs/nat-rules-overview) --- ## Cloud VPN 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | Cloud VPN 支持为您的 VPN 隧道提供可自定义的加密套件选项 (cipher options) | Feature | 2025-09-30 | ### 详细更新内容 #### 1. Cloud VPN 支持为您的 VPN 隧道提供可自定义的加密套件选项 (cipher options) **发布日期:** 2025-09-30 **更新类型:** Feature **功能描述:** Cloud VPN 支持为您的 VPN 隧道提供可自定义的加密套件选项 (cipher options)。您可以根据安全需求配置加密套件。此功能已正式发布 (Generally Available)。更多信息请参阅“在 Cloud VPN 隧道中配置加密套件”。 **相关文档:** - [在 Cloud VPN 隧道中配置加密套件](https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview#configure-ciphers) --- ## Cloud Armor 产品更新 **更新数量:** 3 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | Cloud Armor 对自治系统编号 (Autonomous System Numbers, ASNs) 的支持 | Feature | 2025-09-24 | | 2 | Cloud Armor 对网络威胁情报 (Network Threat Intelligence, NTI) 的支持 | Feature | 2025-09-24 | | 3 | Cloud Armor 支持组织范围的地址组 (organization-scoped address groups) | Feature | 2025-09-16 | ### 详细更新内容 #### 1. Cloud Armor 在用于 Media CDN 边缘缓存服务的全球范围边缘安全策略 (globally scoped edge security policies) 中对自治系统编号 (Autonomous System Numbers, ASNs) 的支持已正式发布 (Generally Available)。 **发布日期:** 2025-09-24 **更新类型:** Feature **功能描述:** Cloud Armor 在用于 Media CDN 边缘缓存服务的全球范围边缘安全策略 (globally scoped edge security policies) 中对自治系统编号 (Autonomous System Numbers, ASNs) 的支持已正式发布 (Generally Available)。 **相关文档:** - [全球范围边缘安全策略](https://cloud.google.com/armor/docs/security-policy-overview#expandable-1) --- #### 2. Cloud Armor 在用于 Media CDN 边缘缓存服务的全球范围边缘安全策略中对网络威胁情报 (Network Threat Intelligence, NTI) 的支持已正式发布 (Generally Available)。 **发布日期:** 2025-09-24 **更新类型:** Feature **功能描述:** Cloud Armor 在用于 Media CDN 边缘缓存服务的全球范围边缘安全策略中对网络威胁情报 (Network Threat Intelligence, NTI) 的支持已正式发布 (Generally Available)。 **相关文档:** - [全球范围边缘安全策略](https://cloud.google.com/armor/docs/security-policy-overview#expandable-1) --- #### 3. Cloud Armor 对安全策略中组织范围地址组 (organization-scoped address groups) 的支持已正式发布 (Generally Available)。 **发布日期:** 2025-09-16 **更新类型:** Feature **功能描述:** Cloud Armor 对安全策略中组织范围地址组 (organization-scoped address groups) 的支持已正式发布 (Generally Available)。 **相关文档:** - [组织范围地址组](https://cloud.google.com/armor/docs/address-groups-overview#organization-scoped-address-group) --- ## SERVICE-MESH 产品更新 **更新数量:** 13 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | |---|---|---|---| | 1 | 您现在可以使用 Cloud Service Mesh 服务路由 API (service routing APIs) 配置流量路由 | Feature | 2025-09-30 | | 2 | 采用 TD 控制平面的托管式 Cloud Service Mesh | Change | 2025-09-30 | | 3 | CVECNIMDP ControllerCVE-2025-4802YesYesCVE-2023-29 | Fixed | 2025-09-29 | | 4 | CNI/托管式数据平面控制器版本 1.23.6-asm.15 | Announcement | 2025-09-29 | | 5 | 对部分功能的支持将于 2027 年 3 月 17 日终止 | Deprecated | 2025-09-25 | | 6 | 1.27.1-asm.2 版本现已可用于集群内 Cloud Service Mesh | Announcement | 2025-09-23 | | 7 | 针对托管式 Cloud Service Mesh 的版本推送已完成 | Announcement | 2025-09-17 | | 8 | 1.25.4-asm.0 版本现已可用于集群内 Cloud Service Mesh | Announcement | 2025-09-10 | | 9 | 1.24.6-asm.12 版本现已可用于集群内 Cloud Service Mesh | Announcement | 2025-09-10 | | 10 | 这些补丁解决了以下 CVE | Fixed | 2025-09-10 | | 11 | 1.26.4-asm.1 集群内 Cloud Service Mesh 已包含修复 | Announcement | 2025-09-10 | | 12 | 托管式 Cloud Service Mesh 推送解决的漏洞 | Security | 2025-09-09 | | 13 | 1.26.4-asm.1 版本现已可用于集群内 Cloud Service Mesh | Security | 2025-09-02 | ### 详细更新内容 #### 1. 您现在可以使用 Cloud Service Mesh 服务路由 API (service routing APIs) 在 Cloud Run、Google Kubernetes Engine 和 Google Compute Engine 服务之间配置流量路由。(GA) **发布日期:** 2025-09-30 **更新类型:** Feature **功能描述:** 您现在可以使用 Cloud Service Mesh 服务路由 API (service routing APIs) 在 Cloud Run、Google Kubernetes Engine 和 Google Compute Engine 服务之间配置流量路由。(GA) **相关文档:** - [Cloud Service Mesh 服务路由 API](https://cloud.google.com/service-mesh/docs/configure-cloud-service-mesh-for-cloud-run#service_to_service) --- #### 2. 在快速 (Rapid) 发布渠道 (release channel) 中，采用 TD 控制平面 (control plane) 的托管式 Cloud Service Mesh 将开始使用带有内部 envoy 版本的代理镜像。 **发布日期:** 2025-09-30 **更新类型:** Change **功能描述:** 在快速 (Rapid) 发布渠道 (release channel) 中，采用 TD 控制平面 (control plane) 的托管式 Cloud Service Mesh 将开始使用带有内部 envoy 版本的代理镜像。托管式 (TD) 控制平面支持的所有功能均受此代理支持。要识别集群中使用的代理版本，请参阅“识别集群中使用的代理版本”。此版本使用 `csm_istio_proxy_20250611.00_p0` 版本。有关代理版本的更多详细信息，请参见“版本”页面。 **相关文档:** - [内部 envoy 版本](https://cloud.google.com/service-mesh/docs/supported-features-managed#base_images) - [识别集群中使用的代理版本](https://cloud.google.com/service-mesh/docs/troubleshooting/troubleshoot-proxy#identify_the_proxy_version_used_in_the_cluster) - [版本](https://cloud.google.com/service-mesh/versions) --- #### 3. CVE | CNI | MDP 控制器 | CVE-2025-4802 | 是 | 是 | CVE-2023-29383 | 是 | 是 | CVE-2024-56406 | 是 | 是 **发布日期:** 2025-09-29 **更新类型:** Fixed **功能描述:** CVE | CNI | MDP 控制器 | CVE-2025-4802 | 是 | 是 | CVE-2023-29383 | 是 | 是 | CVE-2024-56406 | 是 | 是 | CVE-2023-7008 | 是 | 是 | CVE-2025-1377 | 是 | 是 | CVE-2023-4039 | 是 | 是 | CVE-2025-46836 | 是 | 是 | CVE-2023-50495 | 是 | 是 | CVE-2025-4598 | 是 | 是 | CVE-2025-3576 | 是 | 是 | CVE-2025-30258 | 是 | 是 | CVE-2017-11164 | 是 | 是 | CVE-2022-41409 | 是 | 是 | CVE-2025-1372 | 是 | 是 | CVE-2022-27943 | 是 | 是 | CVE-2022-4899 | 是 | 是 | CVE-2023-34969 | 是 | 是 | CVE-2023-45918 | 是 | 是 **相关文档:** - [CVE-2025-4802](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-4802) - [CVE-2023-29383](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2023-29383) - [CVE-2024-56406](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2024-56406) - [CVE-2023-7008](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2023-7008) - [CVE-2025-1377](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-1377) - [CVE-2023-4039](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2023-4039) - [CVE-2025-46836](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-46836) - [CVE-2023-50495](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2023-50495) - [CVE-2025-4598](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-4598) - [CVE-2025-3576](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-3576) - [CVE-2025-30258](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-30258) - [CVE-2017-11164](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2017-11164) - [CVE-2022-41409](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2022-41409) - [CVE-2025-1372](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-1372) - [CVE-2022-27943](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2022-27943) - [CVE-2022-4899](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2022-4899) - [CVE-2023-34969](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2023-34969) - [CVE-2023-45918](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2023-45918) --- #### 4. CNI/托管式数据平面 (data plane) 控制器版本 1.23.6-asm.15 正在向所有发布渠道推送。 **发布日期:** 2025-09-29 **更新类型:** Announcement **功能描述:** CNI/托管式数据平面 (data plane) 控制器版本 1.23.6-asm.15 正在向所有发布渠道推送。 --- #### 5. 对以下功能的支持将于 2027 年 3 月 17 日终止：GKE on AWS、GKE on Azure **发布日期:** 2025-09-25 **更新类型:** Deprecated **功能描述:** 对以下功能的支持将于 2027 年 3 月 17 日终止：GKE on AWS、GKE on Azure、EKS Attached Clusters on AWS、Azure Attached Clusters with AKS。请注意，GKE 附加集群或 Google Distributed Cloud (仅软件或气隙环境) 的其他功能没有变化。您必须在 2027 年 3 月 17 日之前，使用您现有的 CSM 配置文件迁移到替代的服务网格解决方案或基于 Istio 的替代方案。 **相关文档:** - [GKE on AWS](https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/deprecations/deprecation-announcement) - [GKE on Azure](https://cloud.google.com/kubernetes-engine/multi-cloud/docs/azure/deprecations/deprecation-announcement) --- #### 6. 1.27.1-asm.2 版本现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-09-23 **更新类型:** Announcement **功能描述:** 1.27.1-asm.2 版本现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.27.1-asm.2。它包含了 Istio 1.27.1 的功能，但受限于支持功能列表。不支持以下环境变量和注解：`ENVOY_STATUS_PORT_ENABLE_PROXY_PROTOCOL`、`PILOT_DNS_CARES_UDP_MAX_QUERIES`、`PILOT_IP_AUTOALLOCATE_IPV4_PREFIX` 和 `PILOT_IP_AUTOALLOCATE_IPV6_PREFIX`、`sidecar.istio.io/bootstrapOverride`。有关升级 Cloud Service Mesh 的详细信息，请参阅“升级 Cloud Service Mesh”。Cloud Service Mesh 1.27.1-asm.2 版本使用 Envoy v1.35.3-dev。 **相关文档:** - [Istio 1.27.1](https://istio.io/latest/news/releases/1.27.x/announcing-1.27/) - [支持功能](https://cloud.google.com/service-mesh/docs/supported-features-in-cluster) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- #### 7. 以下针对托管式 Cloud Service Mesh 的推送已完成：1.21.5-asm.55 **发布日期:** 2025-09-17 **更新类型:** Announcement **功能描述:** 以下针对托管式 Cloud Service Mesh 的推送已完成：1.21.5-asm.55 已推送到快速 (rapid) 发布渠道。1.20.8-asm.48 已推送到常规 (regular) 发布渠道。1.19.10-asm.48 已推送到稳定 (stable) 发布渠道。虽然托管式数据平面会通过重启工作负载来自动更新 Envoy 代理，但您必须手动重启任何有状态集 (StatefulSets) 和作业 (Jobs)。 --- #### 8. 1.25.4-asm.0 版本现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-09-10 **更新类型:** Announcement **功能描述:** 1.25.4-asm.0 版本现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.25.4-asm.0。它包含了 Istio 1.25.4 的功能，但受限于支持功能列表。Cloud Service Mesh 1.25.4-asm.0 版本使用 envoy v1.33.8-dev。有关升级 Cloud Service Mesh 的详细信息，请参阅“升级 Cloud Service Mesh”。 **相关文档:** - [Istio 1.25.4](https://istio.io/latest/news/releases/1.25.x/announcing-1.25.4/) - [支持功能](https://cloud.google.com/service-mesh/v1.25/docs/supported-features-in-cluster) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/v1.25/docs/upgrade/upgrade) --- #### 9. 1.24.6-asm.12 版本现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-09-10 **更新类型:** Announcement **功能描述:** 1.24.6-asm.12 版本现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.24.6-asm.12。它包含了 Istio 1.24.6 的功能，但受限于支持功能列表。Cloud Service Mesh 1.24.6-asm.12 版本使用 envoy v1.33.8-dev。有关升级 Cloud Service Mesh 的详细信息，请参阅“升级 Cloud Service Mesh”。 **相关文档:** - [Istio 1.24.6](https://istio.io/latest/news/releases/1.24.x/announcing-1.24.6/) - [支持功能](https://cloud.google.com/service-mesh/v1.24/docs/supported-features-in-cluster) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/v1.24/docs/upgrade/upgrade) --- #### 10. 这些补丁解决了以下 CVE：CVE | Proxy | 控制平面 | CNI | Distroless | CVE-2 **发布日期:** 2025-09-10 **更新类型:** Fixed **功能描述:** 这些补丁解决了以下 CVE：CVE | Proxy | 控制平面 | CNI | Distroless | CVE-2025-32990 | 是 | 是 | 是 | - | CVE-2025-32988 | 是 | 是 | 是 | - | CVE-2025-40909 | 是 | 是 | 是 | - | CVE-2025-32989 | 是 | 是 | 是 | - | CVE-2025-47268 | 是 | 是 | 是 | - | CVE-2025-5702 | 是 | 是 | 是 | - | CVE-2025-6395 | 是 | 是 | 是 | - | CVE-2025-48964 | 是 | 是 | 是 | - **相关文档:** - [CVE-2025-32990](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-32990) - [CVE-2025-32988](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-32988) - [CVE-2025-40909](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-40909) - [CVE-2025-32989](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-32989) - [CVE-2025-47268](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-47268) - [CVE-2025-5702](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-5702) - [CVE-2025-6395](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-6395) - [CVE-2025-48964](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-48964) --- #### 11. 集群内 Cloud Service Mesh 1.26.4-asm.1 版本已包含针对这些 CVE 的修复。 **发布日期:** 2025-09-10 **更新类型:** Announcement **功能描述:** 集群内 Cloud Service Mesh 1.26.4-asm.1 版本已包含针对这些 CVE 的修复。 --- #### 12. 先前宣布的托管式 Cloud Service Mesh 推送解决了以下漏洞。 **发布日期:** 2025-09-09 **更新类型:** Security **功能描述:** 先前宣布的托管式 Cloud Service Mesh 推送解决了以下漏洞。虽然托管式数据平面会通过重启工作负载来自动更新 Envoy 代理，但您必须手动重启任何有状态集 (StatefulSets) 和作业 (Jobs)。1.21.5-asm.55 名称 | Envoy 代理 | Envoy 代理 distroless | 控制平面 | CVE-2025-32462 | 是 | - | - | CVE-2025-4877 | 是 | - | - | CVE-2025-3576 | 是 | - | - | CVE-2025-4802 | 是 | - | - | CVE-2025-4878 | 是 | - | - | CVE-2025-5318 | 是 | - | - | CVE-2025-6020 | 是 | - | - | CVE-2025-46836 | 是 | - | - | CVE-2025-4598 | 是 | - | - | CVE-2024-56406 | 是 | - | - | CVE-2025-30258 | 是 | - | - | CVE-2025-5372 | 是 | - | - | CVE-2025-1372 | 是 | - | - | CVE-2025-1377 | 是 | - | - | CVE-2023-4039 | - | 是 | - | 1.20.8-asm.48 名称 | Envoy 代理 | Envoy 代理 distroless | 控制平面 | CVE-2025-32462 | 是 | - | - | CVE-2025-4877 | 是 | - | - | CVE-2025-3576 | 是 | - | - | CVE-2025-4802 | 是 | - | - | CVE-2025-4878 | 是 | - | - | CVE-2025-5318 | 是 | - | - | CVE-2025-6020 | 是 | - | - | CVE-2025-46836 | 是 | - | - | CVE-2025-4598 | 是 | - | - | CVE-2024-56406 | 是 | - | - | CVE-2025-30258 | 是 | - | - | CVE-2025-5372 | 是 | - | - | CVE-2025-1372 | 是 | - | - | CVE-2025-1377 | 是 | - | - | 1.19.10-asm.48 名称 | Envoy 代理 | Envoy 代理 distroless | 控制平面 | CVE-2025-32462 | 是 | - | - | CVE-2025-22872 | 是 | 是 | 是 | CVE-2025-4877 | 是 | - | - | CVE-2025-3576 | 是 | - | - | CVE-2025-4802 | 是 | - | - | CVE-2025-4878 | 是 | - | - | CVE-2025-5318 | 是 | - | - | CVE-2025-6020 | 是 | - | - | CVE-2025-46836 | 是 | - | - | CVE-2025-4598 | 是 | - | - | CVE-2024-56406 | 是 | - | - | CVE-2025-30258 | 是 | - | - | CVE-2025-5372 | 是 | - | - **相关文档:** - [先前宣布](https://cloud.google.com/service-mesh/docs/release-notes#August_12_2025) - [CVE-2025-32462](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32462) - [CVE-2025-4877](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4877) - [CVE-2025-3576](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-3576) - [CVE-2025-4802](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4802) - [CVE-2025-4878](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4878) - [CVE-2025-5318](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-5318) - [CVE-2025-6020](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-6020) - [CVE-2025-46836](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-46836) - [CVE-2025-4598](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4598) - [CVE-2024-56406](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2024-56406) - [CVE-2025-30258](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-30258) - [CVE-2025-5372](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-5372) - [CVE-2025-1372](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-1372) - [CVE-2025-1377](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-1377) - [CVE-2023-4039](https://security-tracker.debian.org/tracker/CVE-2023-4039) - [CVE-2025-32462](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32462) - [CVE-2025-4877](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4877) - [CVE-2025-3576](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-3576) - [CVE-2025-4802](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4802) - [CVE-2025-4878](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4878) - [CVE-2025-5318](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-5318) - [CVE-2025-6020](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-6020) - [CVE-2025-46836](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-46836) - [CVE-2025-4598](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4598) - [CVE-2024-56406](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2024-56406) - [CVE-2025-30258](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-30258) - [CVE-2025-5372](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-5372) - [CVE-2025-1372](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-1372) - [CVE-2025-1377](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-1377) - [CVE-2025-32462](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32462) - [CVE-2025-22872](https://github.com/advisories/GHSA-vvgc-356p-c3xw) - [CVE-2025-4877](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4877) - [CVE-2025-3576](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-3576) - [CVE-2025-4802](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4802) - [CVE-2025-4878](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4878) - [CVE-2025-5318](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-5318) - [CVE-2025-6020](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-6020) - [CVE-2025-46836](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-46836) - [CVE-2025-4598](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-4598) - [CVE-2024-56406](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2024-56406) - [CVE-2025-30258](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-30258) - [CVE-2025-5372](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-5372) --- #### 13. 1.26.4-asm.1 版本现已可用于集群内 Cloud Service Mesh。此补丁版本修复了 DNS 缓存中的一个释放后重用 (use-after-free, UAF) 漏洞。 **发布日期:** 2025-09-02 **更新类型:** Security **功能描述:** 1.26.4-asm.1 版本现已可用于集群内 Cloud Service Mesh。此补丁版本修复了 DNS 缓存中的一个释放后重用 (use-after-free, UAF) 漏洞。更多信息请参阅安全公告 (security bulletin)。只有运行集群内 Cloud Service Mesh 1.26 版本的集群受到影响。如果您运行的是较早的集群内版本或托管式 Cloud Service Mesh，则不受影响，无需采取任何措施。有关升级 Cloud Service Mesh 的详细信息，请参阅“升级 Cloud Service Mesh”。 **相关文档:** - [DNS 缓存中的释放后重用 (UAF) 漏洞](https://www.cve.org/CVERecord?id=CVE-2025-54588) - [安全公告](https://cloud.google.com/service-mesh/docs/security-bulletins#gcp-2025-048) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- ## 数据来源 本文档内容来源于GCP官方Release Notes页面，具体更新详情请访问: - https://cloud.google.com/armor/docs/release-notes - https://cloud.google.com/dns/docs/release-notes - https://cloud.google.com/load-balancing/docs/release-notes - https://cloud.google.com/nat/docs/release-notes - https://cloud.google.com/network-connectivity/docs/vpn/release-notes - https://cloud.google.com/service-mesh/docs/release-notes - https://cloud.google.com/vpc/docs/release-notes **生成时间:** 2025-12-22 10:55:21 <!-- AI_TASK_END: AI全文翻译 -->