GCP 网络服务 2025 年 10 月更新

**发布时间:** 2025-10-01 **厂商:** Google Cloud Platform **类型:** 月度更新汇总 ---  GCP 网络服务 2025 年 10 月更新   # 月度更新概览 ## 更新总览 Google Cloud Platform 在2025年10月针对其网络服务产品线发布了26项更新，涉及6款核心产品。本次更新重点聚焦于提升虚拟网络（VPC）的灵活性、增强负载均衡的安全与流量管理能力、完善Serverless网络集成，以及强化企业级安全治理。更新类型以新功能发布（GA和Preview）为主，同时包含了重要的安全补丁和版本迭代，体现了GCP在网络基础设施领域的持续投入。 ## 各产品更新详情 ### VPC - **动态网络接口 (Dynamic NICs) 正式发布 (GA):** 允许在虚拟机运行时动态添加或移除网络接口（NIC），无需重启实例。此功能极大地提升了运维灵活性，并支持虚拟机配置最多16个网络接口，适用于网络虚拟设备（NFV）和需要复杂网络拓扑的应用场景。 - [Dynamic NICs](https://cloud.google.com/vpc/docs/multiple-interfaces-concepts#dynamic-nics) - [创建带动态NIC的VM实例](https://cloud.google.com/vpc/docs/create-use-multiple-interfaces) - [为现有实例添加动态NIC](https://cloud.google.com/vpc/docs/add-dynamic-nics) - **支持预留 /96 IPv6 地址范围:** 用户在预留静态区域性IPv6地址时，可以指定/96大小的地址范围，提供了更精细化的IP地址管理能力。 - **IP地址利用率视图 (GA):** 在查询或描述子网时，可以直接查看子网中已分配和可用的IP地址数量，简化了网络容量规划和监控。 - **VPC 流日志支持 Cloud Run:** 现已支持记录通过 **Direct VPC egress** 配置的 **Cloud Run** 资源的流量，将网络可观测性扩展到了Serverless计算环境。 - **Private Service Connect 健康检查 (Preview):** 服务发布方可以定义健康状态，以支持使用 **Private Service Connect** 后端的服务消费方实现跨区域自动故障转移，显著提升了托管服务的可靠性和韧性。 ### Cloud Load Balancing - **ALPN 协议协商变更:** 全球和经典外部应用负载均衡器现在会拒绝客户端与负载均衡器之间没有共同ALPN协议的TLS连接。此举强制了应用层协议的明确协商，提升了连接的安全性与标准化水平。 - **支持自定义临时 /96 IPv6 地址范围:** 在创建区域性IPv6转发规则时，可以指定一个自定义的临时/96 IPv6地址范围，增强了对IPv6流量处理的灵活性。 - **应用负载均衡器支持授权策略 (GA):** 允许为进入的流量配置精细的访问控制策略，将授权逻辑前置到负载均衡器层面，简化了后端应用的安全架构。 - **支持 IPv6-only 虚拟机实例组:** 内部直通网络负载均衡器和外部直通网络负载均衡器现在均可将流量负载均衡到完全由IPv6虚拟机组成的托管实例组（MIGs），全面拥抱IPv6原生环境。 - **支持基于百分比的请求镜像 (GA):** 允许将指定百分比的实时流量镜像到另一个后端服务，为线上环境进行安全的功能测试、A/B测试或问题排查提供了强大的流量管理工具。 ### Cloud CDN - **预定义监控仪表盘 (GA):** 默认启用了一套预定义的仪表盘，提供关于系统健康度和性能的关键指标，帮助用户快速洞察流量分布和缓存效率，降低了监控配置的复杂度。 - [Predefined dashboards](https://cloud.google.com/cdn/docs/logging#predefined-cdn-dashboards) ### Cloud NAT - **Private NAT 支持 Cloud Run (GA):** **Private NAT** 现已正式支持 **Cloud Run**，使得Serverless应用可以通过NAT网关访问其他私有网络中的资源（如本地数据中心），打通了Serverless与混合云环境的连接。 - [Supported resources](https://cloud.google.com/nat/docs/overview#supported-resources) ### Cloud Armor - **分层安全策略 (Hierarchical security policies) (GA):** 该功能正式发布，允许在组织或文件夹级别设置安全策略，并由下级项目继承。这实现了安全策略的集中控制、强制一致性和高效管理，是大型企业实现统一安全治理的关键能力。 - [Hierarchical security policies](https://cloud.google.com/armor/docs/hierarchical-policies-overview) ### SERVICE-MESH - **多版本安全更新和补丁发布:** 密集发布了针对 **Cloud Service Mesh** 1.25, 1.26, 1.27 等多个版本的安全更新，修复了大量CVE漏洞，保障了服务网格的安全性。 - **版本生命周期管理:** 宣布 **Cloud Service Mesh** 1.24版本停止支持，并持续向快速、常规和稳定渠道推送新版本的托管服务网格镜像。 - **行为变更回滚:** 针对1.21版本中对 **ExternalName** 和 **auto-sni** 的上游破坏性变更，GCP决定恢复旧版本行为以避免影响客户，体现了对用户体验的重视。 ## 重点更新分析 1. **VPC Dynamic Network Interfaces (GA):** 这是对核心计算网络能力的重大增强。过去，为虚拟机增减网卡需要停机操作，严重影响业务连续性。**动态网卡** 的实现，使得GCP在IaaS层面的灵活性看齐了其他头部云厂商，尤其对于需要动态调整网络连接的场景，如部署在虚拟机上的网络防火墙、路由器或多租户网关，该功能具有极高的业务价值，显著降低了网络变更带来的运维成本和风险。 2. **Cloud Armor Hierarchical Security Policies (GA):** 此功能的正式发布标志着GCP在云上安全治理方面迈出了重要一步。在大型企业中，确保数百个项目遵循统一的安全基线是一项巨大挑战。**分层安全策略** 提供了一种自上而下的强制执行机制，允许中央安全团队定义全局规则，防止因项目级配置不当导致的安全漏洞。这不仅提升了整体安全水位，也极大地简化了合规审计和策略管理，对于有严格安全合规需求的企业客户具有强大的吸引力。 3. **Cloud Load Balancing Authorization Policies (GA):** 将授权决策从后端应用转移至网络边缘的负载均衡器，是实现零信任网络架构的关键实践。开发者不再需要在每个微服务中重复实现复杂的认证授权逻辑，而是通过在ALB上配置策略来集中管理访问控制。这不仅降低了开发和维护的复杂性，还通过在流量入口处拦截非法请求，提升了系统的整体安全性和性能。 ## 趋势洞察 - **企业级治理与灵活性并重:** GCP正通过 **分层安全策略** 和 **动态网卡** 等功能，持续强化其产品对大型企业复杂场景的支撑能力，一方面提供强大的集中管控，另一方面赋予基础设施更高的运维灵活性。 - **Serverless网络能力日趋成熟:** 将 **VPC流日志** 和 **Private NAT** 等核心网络功能与 **Cloud Run** 深度集成，表明GCP正致力于将Serverless应用无缝融入现有网络架构，为其提供与传统VM同等的网络可见性、安全性和连接性。 - **安全左移至网络边缘:** 负载均衡器集成授权策略、Cloud Armor功能持续增强，反映出GCP的网络战略正将越来越多的安全能力构建在流量入口处，形成纵深防御体系，从而减轻后端服务的安全压力。   # GCP 网络服务月度更新 - 2025-10 **发布时间:** 2025-10-01 **厂商:** Google Cloud Platform **产品线:** 网络服务 **类型:** 月度更新汇总 **产品数量:** 6 个 **总更新数量:** 26 条 --- ## 产品更新概览 | 产品 | 更新数量 | 主要更新内容 | | --- | --- | --- | | VPC | 5条 | 动态网络接口 (NICs) 已正式...; 在预留静态区域性 IPv6 地址时，您可以指定一个 /96 的 IPv6 地址范围...; 当您列出或描述子网时，可以查看 IP 地址利用率... 等5项更新 | | Cloud Load Balancing | 5条 | 全球和经典外部应用负载...; 在创建区域性 IPv6 转发规则时，您可以指定一个自定义的临时 /96 IPv...; 应用负载均衡器支持授权策... 等5项更新 | | Cloud CDN | 1条 | Cloud CDN 提供预定义的信息中心... | | Cloud NAT | 1条 | Private NAT 支持 Cloud Run 已正式... | | Cloud Armor | 1条 | Cloud Armor 的分层安全策略... | | SERVICE-MESH | 13条 | 1.25.5-asm.9 现已可用于集群内 Cloud...; 1.26.5-asm.1 现已可用于集群内 Cloud...; 1.27.2-asm.1 现已可用于集群内 Cloud... 等13项更新 | --- ## VPC 产品更新 **更新数量:** 5 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 动态网络接口 (NICs) 已正式发布 | Feature | 2025-10-30 | | 2 | 在预留静态区域性 IPv6 地址时，您可以指定一个 /96 的 IPv6 地址范围 | Feature | 2025-10-29 | | 3 | 当您列出或描述子网时，可以查看 IP 地址利用率 | Feature | 2025-10-24 | | 4 | VPC 流日志支持记录配置了直接 VPC 出站流量的 Cloud Run 资源 | Feature | 2025-10-20 | | 5 | Private Service Connect 运行状况检查功能现已推出预览版 | Feature | 2025-10-15 | ### 详细更新内容 #### 1. 动态网络接口 (NICs) 已正式发布 (GA)。 **发布日期:** 2025-10-30 **更新类型:** Feature **功能描述:** 动态网络接口 (Dynamic Network Interfaces, NICs) 已正式发布 (General Availability)。动态 NICs 允许您在不重启或重建实例的情况下，更新实例以添加或移除网络接口。当您需要更多网络接口时，也可以使用动态 NICs。在 Google Cloud 中，大多数机器类型的 vNICs 最大数量为 10 个；但是，通过使用动态 NICs，您最多可以配置 16 个接口。更多信息，请参阅以下文档：动态 NICs、创建带有动态 NICs 的虚拟机实例、向现有实例添加动态 NICs。 **相关文档:** - [动态 NICs](https://cloud.google.com/vpc/docs/multiple-interfaces-concepts#dynamic-nics) - [创建带有动态 NICs 的虚拟机实例](https://cloud.google.com/vpc/docs/create-use-multiple-interfaces) - [向现有实例添加动态 NICs](https://cloud.google.com/vpc/docs/add-dynamic-nics) --- #### 2. 在预留静态区域性 IPv6 地址时，您可以指定一个 /96 的 IPv6 地址范围 **发布日期:** 2025-10-29 **更新类型:** Feature **功能描述:** 在预留静态区域性 IPv6 地址时，您可以指定一个 /96 的 IPv6 地址范围。更多信息，请参阅以下文档：预留静态内部 IP 地址、预留静态外部 IP 地址。该功能已正式发布 (GA)。 **相关文档:** - [预留静态内部 IP 地址](https://cloud.google.com/vpc/docs/reserve-static-internal-ip-address) - [预留静态外部 IP 地址](https://cloud.google.com/vpc/docs/reserve-static-external-ip-address) --- #### 3. 当您列出或描述子网时，可以查看 IP 地址利用率 **发布日期:** 2025-10-24 **更新类型:** Feature **功能描述:** 当您列出或描述子网时，可以查看 IP 地址利用率。IP 地址利用率会显示子网中空闲和已分配的 IP 地址数量。该功能已正式发布 (GA)。 **相关文档:** - [列出子网](https://cloud.google.com/vpc/docs/create-modify-vpc-networks#listing_existing_subnets) - [描述子网](https://cloud.google.com/vpc/docs/create-modify-vpc-networks#describing_an_existing_subnet) --- #### 4. VPC 流日志支持记录配置了直接 VPC 出站流量的 Cloud Run 资源 **发布日期:** 2025-10-20 **更新类型:** Feature **功能描述:** VPC 流日志 (VPC Flow Logs) 支持记录配置了直接 VPC 出站流量 (Direct VPC egress) 的 Cloud Run 资源。该功能已正式发布 (GA)。更多信息，请参阅无服务器流和 ServerlessDetails 字段格式。 **相关文档:** - [直接 VPC 出站流量](https://cloud.google.com/run/docs/configuring/vpc-direct-vpc) - [无服务器流](https://cloud.google.com/vpc/docs/about-traffic-flows#serverless-flows) - [ServerlessDetails 字段格式](https://cloud.google.com/vpc/docs/about-flow-logs-records#serverless-details) --- #### 5. Private Service Connect 运行状况检查功能现已推出预览版 (Preview)。 **发布日期:** 2025-10-15 **更新类型:** Feature **功能描述:** Private Service Connect 运行状况检查功能现已推出预览版 (Preview)。该功能允许服务生产者定义健康状态，以便为使用 Private Service Connect 后端的消费者提供自动跨区域故障转移支持。更多信息，请参阅关于 Private Service Connect 运行状况检查以实现自动跨区域故障转移。 **相关文档:** - [关于 Private Service Connect 运行状况检查以实现自动跨区域故障转移](https://cloud.google.com/vpc/docs/about-private-service-connect-health) --- ## Cloud Load Balancing 产品更新 **更新数量:** 5 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 全球和经典外部应用负载均衡器变更了 ALPN 协议协商失败时的处理方式 | Change | 2025-10-31 | | 2 | 创建区域性 IPv6 转发规则时可指定自定义的临时 /96 IPv6 地址范围 | Feature | 2025-10-29 | | 3 | 应用负载均衡器支持授权策略 | Feature | 2025-10-28 | | 4 | 内部和外部直通式网络负载均衡器支持对纯 IPv6 虚拟机实例组进行负载均衡 | Feature | 2025-10-28 | | 5 | 全球和区域性外部应用负载均衡器支持基于百分比的请求镜像 | Feature | 2025-10-06 | ### 详细更新内容 #### 1. 部署在 Google 前端 (GFEs) 上的全球和经典外部应用负载均衡器变更了 ALPN 协议协商失败时的处理方式 **发布日期:** 2025-10-31 **更新类型:** Change **功能描述:** 部署在 Google 前端 (Google Front-Ends, GFEs) 上的全球和经典外部应用负载均衡器现在会拒绝 TLS 连接，当客户端和负载均衡器都支持 ALPN (应用层协议协商, Application-Layer Protocol Negotiation) 但没有共同的 ALPN 协议时。此前，如果客户端在 TLS 握手 (TLS handshake) 期间使用 ALPN 扩展提出了一系列应用协议，但负载均衡器均不支持，ALPN 将被停用，连接会默认使用 HTTP/1 作为应用协议。本次更新后，GFE 将返回一个 `SSL_TLSEXT_ERR_ALERT_FATAL` 响应，导致负载均衡器终止 TLS 握手并关闭连接。这一变更确保了应用层协议总是在支持 ALPN 的客户端和负载均衡器之间进行显式协商。 --- #### 2. 在创建区域性 IPv6 转发规则时，您可以指定一个自定义的临时 /96 IPv6 地址范围 **发布日期:** 2025-10-29 **更新类型:** Feature **功能描述:** 在创建区域性 IPv6 转发规则时，您可以指定一个自定义的临时 /96 IPv6 地址范围。更多信息，请参阅以下文档：内部直通式网络负载均衡器概述、基于后端服务的外部直通式网络负载均衡器概述、协议转发概述。该功能已正式发布 (GA)。 **相关文档:** - [内部直通式网络负载均衡器概述](https://cloud.google.com/load-balancing/docs/internal) - [基于后端服务的外部直通式网络负载均衡器概述](https://cloud.google.com/load-balancing/docs/network/networklb-backend-service) - [协议转发概述](https://cloud.google.com/load-balancing/docs/protocol-forwarding) --- #### 3. 应用负载均衡器支持授权策略，允许您为入站流量建立访问控制检查 **发布日期:** 2025-10-28 **更新类型:** Feature **功能描述:** 应用负载均衡器支持授权策略，允许您为入站流量建立访问控制检查。详情请参阅授权策略概述。该功能已正式发布 (GA)。 **相关文档:** - [授权策略概述](https://cloud.google.com/load-balancing/docs/auth-policy/auth-policy-overview) --- #### 4. 内部直通式网络负载均衡器和外部直通式网络负载均衡器均支持对由纯 IPv6 虚拟机实例组成的代管式实例组 (MIGs) 进行负载均衡 **发布日期:** 2025-10-28 **更新类型:** Feature **功能描述:** 内部直通式网络负载均衡器和外部直通式网络负载均衡器均支持对由纯 IPv6 虚拟机实例组成的代管式实例组 (managed instance groups, MIGs) 进行负载均衡。更多详情，请参阅以下页面：使用后端服务设置外部直通式网络负载均衡器、使用虚拟机实例组后端设置内部直通式网络负载均衡器。该功能已正式发布 (GA)。 **相关文档:** - [使用后端服务设置外部直通式网络负载均衡器](https://cloud.google.com/load-balancing/docs/network/setting-up-network-backend-service) - [使用虚拟机实例组后端设置内部直通式网络负载均衡器](https://cloud.google.com/load-balancing/docs/internal/setting-up-internal) --- #### 5. 全球和区域性外部应用负载均衡器现已支持基于百分比的请求镜像 **发布日期:** 2025-10-06 **更新类型:** Feature **功能描述:** 全球和区域性外部应用负载均衡器 (不支持经典版) 现已支持基于百分比的请求镜像 (request mirroring)。默认情况下，即使原始流量被分配到多个加权的后端服务，镜像后端服务也会接收所有请求。现在，您可以使用 `mirrorPercent` 标志来配置镜像后端服务，使其仅接收一定百分比的请求，该值介于 0 到 100.0 之间。示例请参阅为区域性外部应用负载均衡器设置流量管理。该功能已正式发布 (GA)。 **相关文档:** - [为区域性外部应用负载均衡器设置流量管理](https://cloud.google.com/load-balancing/docs/https/setting-up-reg-traffic-mgmt#mirror_traffic) --- ## Cloud CDN 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | Cloud CDN 提供默认启用的预定义信息中心 | Feature | 2025-10-07 | ### 详细更新内容 #### 1. Cloud CDN 提供默认启用的预定义信息中心，以便快速了解系统健康状况和性能 **发布日期:** 2025-10-07 **更新类型:** Feature **功能描述:** Cloud CDN 提供默认启用的预定义信息中心 (predefined dashboards)，以便快速了解系统健康状况和性能。这些信息中心显示关键指标，使您无需手动配置即可监控流量分布和缓存效率。该功能已正式发布 (GA)。更多信息，请参阅预定义信息中心。 **相关文档:** - [预定义信息中心](https://cloud.google.com/cdn/docs/logging#predefined-cdn-dashboards) --- ## Cloud NAT 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | Private NAT 支持 Cloud Run 已正式发布 | Feature | 2025-10-21 | ### 详细更新内容 #### 1. Private NAT 支持 Cloud Run 已正式发布 (GA)。 **发布日期:** 2025-10-21 **更新类型:** Feature **功能描述:** Private NAT 支持 Cloud Run 已正式发布 (GA)。更多信息，请参阅支持的资源。 **相关文档:** - [支持的资源](https://cloud.google.com/nat/docs/overview#supported-resources) --- ## Cloud Armor 产品更新 **更新数量:** 1 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | Cloud Armor 的分层安全策略已正式发布 | Feature | 2025-10-15 | ### 详细更新内容 #### 1. Cloud Armor 的分层安全策略已正式发布 (GA)，该策略有助于实现集中控制、增强一致性、提高运营效率并有效委派安全策略管理 **发布日期:** 2025-10-15 **更新类型:** Feature **功能描述:** Cloud Armor 的分层安全策略 (Hierarchical security policies) 已正式发布 (GA)，该策略有助于实现集中控制、增强一致性、提高运营效率并有效委派安全策略管理。 **相关文档:** - [分层安全策略](https://cloud.google.com/armor/docs/hierarchical-policies-overview) --- ## SERVICE-MESH 产品更新 **更新数量:** 13 条 ### 更新列表 | 序号 | 功能名称 | 更新类型 | 发布日期 | | --- | --- | --- | --- | | 1 | 1.25.5-asm.9 现已可用于集群内 Cloud Service Mesh | Security | 2025-10-28 | | 2 | 1.26.5-asm.1 现已可用于集群内 Cloud Service Mesh | Security | 2025-10-28 | | 3 | 1.27.2-asm.1 现已可用于集群内 Cloud Service Mesh | Security | 2025-10-28 | | 4 | 以下镜像正在为代管式 Cloud Service Mesh 进行发布 | Announcement | 2025-10-27 | | 5 | 这些补丁包含了针对以下 CVEs 的修复 | Fixed | 2025-10-27 | | 6 | 将 1.21 版本推送到快速发布渠道引入了上游重大变更 | Announcement | 2025-10-16 | | 7 | 集群内 Cloud Service Mesh 1.24 版本已不再受支持 | Announcement | 2025-10-15 | | 8 | 1.26.4-asm.7 现已可用于集群内 Cloud Service Mesh | Announcement | 2025-10-15 | | 9 | 1.25.5-asm.7 包含了针对以下 CVEs 的修复 | Fixed | 2025-10-15 | | 10 | 1.27.1-asm.5 包含了针对以下 CVEs 的修复 | Fixed | 2025-10-15 | | 11 | 1.27.1-asm.5 现已可用于集群内 Cloud Service Mesh | Announcement | 2025-10-15 | | 12 | 1.26.4-asm.7 包含了针对以下 CVEs 的修复 | Fixed | 2025-10-15 | | 13 | 1.25.5-asm.7 现已可用于集群内 Cloud Service Mesh | Announcement | 2025-10-15 | ### 详细更新内容 #### 1. 1.25.5-asm.9 现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-10-28 **更新类型:** Security **功能描述:** 1.25.5-asm.9 现已可用于集群内 Cloud Service Mesh。此补丁版本修复了 GCP-2025-064 中列出的安全漏洞。有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh v1.25.5-asm.9 使用 Envoy v1.33.12。 **相关文档:** - [GCP-2025-064](https://cloud.google.com/service-mesh/docs/security-bulletins#gcp-2025-064) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/v1.25/docs/upgrade/upgrade) --- #### 2. 1.26.5-asm.1 现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-10-28 **更新类型:** Security **功能描述:** 1.26.5-asm.1 现已可用于集群内 Cloud Service Mesh。此补丁版本修复了 GCP-2025-064 中列出的安全漏洞。有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh v1.26.5-asm.1 使用 Envoy v1.34.10。 **相关文档:** - [GCP-2025-064](https://cloud.google.com/service-mesh/docs/security-bulletins#gcp-2025-064) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/v1.26/docs/upgrade/upgrade) --- #### 3. 1.27.2-asm.1 现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-10-28 **更新类型:** Security **功能描述:** 1.27.2-asm.1 现已可用于集群内 Cloud Service Mesh。此补丁版本修复了 GCP-2025-064 中列出的安全漏洞。有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh v1.27.2-asm.1 使用 Envoy v1.35.6。 **相关文档:** - [GCP-2025-064](https://cloud.google.com/service-mesh/docs/security-bulletins#gcp-2025-064) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- #### 4. 以下镜像正在为代管式 Cloud Service Mesh 进行发布： **发布日期:** 2025-10-27 **更新类型:** Announcement **功能描述:** 以下镜像正在为代管式 Cloud Service Mesh 进行发布：1.21.6-asm.4 正在向快速发布渠道推出。1.20.8-asm.56 正在向常规发布渠道推出。1.19.10-asm.52 正在向稳定发布渠道推出。CNI/代管式数据平面控制器版本 1.20.8-asm.56 正在向所有发布渠道推出。 --- #### 5. 这些补丁包含了针对以下 CVEs 的修复： **发布日期:** 2025-10-27 **更新类型:** Fixed **功能描述:** 这些补丁包含了针对以下 CVEs 的修复： 1.21.6-asm.4 | 名称 | Envoy Proxy | Envoy Proxy Distroless | 控制平面 | | --- | --- | --- | --- | | CVE-2025-4802 | - | 是 | - | | CVE-2025-8058 | - | 是 | - | | CVE-2023-4039 | 是 | - | - | | CVE-2024-10041 | 是 | - | - | | CVE-2025-32988 | 是 | - | - | | CVE-2025-6395 | 是 | - | - | | CVE-2025-48964 | 是 | - | - | | CVE-2025-32989 | 是 | - | - | | CVE-2025-47268 | 是 | - | - | | CVE-2025-40909 | 是 | - | - | | CVE-2025-32990 | 是 | - | - | 1.20.8-asm.55 | 名称 | Envoy Proxy | Envoy Proxy Distroless | 控制平面 | | --- | --- | --- | --- | | CVE-2023-4813 | - | 是 | - | | CVE-2025-8058 | - | 是 | - | | CVE-2023-4806 | - | 是 | - | | CVE-2025-32989 | 是 | - | - | | CVE-2025-32988 | 是 | - | - | | CVE-2025-48964 | 是 | - | - | | CVE-2024-10041 | 是 | - | - | | CVE-2025-40909 | 是 | - | - | | CVE-2025-32990 | 是 | - | - | | CVE-2025-47268 | 是 | - | - | | CVE-2025-6395 | 是 | - | - | | CVE-2023-4039 | 是 | - | - | 1.19.10-asm.52 | 名称 | Envoy Proxy | Envoy Proxy Distroless | 控制平面 | | --- | --- | --- | --- | | CVE-2023-4813 | - | 是 | - | | CVE-2025-8058 | - | 是 | - | | CVE-2023-4806 | - | 是 | - | | CVE-2025-32989 | 是 | - | - | | CVE-2025-48964 | 是 | - | - | | CVE-2024-10041 | 是 | - | - | | CVE-2025-32988 | 是 | - | - | | CVE-2025-40909 | 是 | - | - | | CVE-2025-32990 | 是 | - | - | | CVE-2025-47268 | 是 | - | - | | CVE-2025-6395 | 是 | - | - | | CVE-2023-4039 | 是 | - | - | CNI & MDPC | 名称 | CNI | MDPC | | --- | --- | --- | | CVE-2024-56406 | 是 | 是 | | CVE-2025-1372 | 是 | 是 | | CVE-2025-46836 | 是 | 是 | | CVE-2025-30258 | 是 | 是 | | CVE-2023-4039 | 是 | 是 | | CVE-2025-4802 | 是 | 是 | | CVE-2025-1377 | 是 | 是 | | CVE-2025-4598 | 是 | 是 | | CVE-2025-3576 | 是 | 是 | **相关文档:** - [CVE-2025-4802](https://security-tracker.debian.org/tracker/CVE-2025-4802) - [CVE-2025-8058](https://security-tracker.debian.org/tracker/CVE-2025-8058) - [CVE-2023-4039](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2023-4039) - [CVE-2024-10041](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2024-10041) - [CVE-2025-32988](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32988) - [CVE-2025-6395](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-6395) - [CVE-2025-48964](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-48964) - [CVE-2025-32989](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32989) - [CVE-2025-47268](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-47268) - [CVE-2025-40909](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-40909) - [CVE-2025-32990](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32990) - [CVE-2023-4813](https://security-tracker.debian.org/tracker/CVE-2023-4813) - [CVE-2025-8058](https://security-tracker.debian.org/tracker/CVE-2025-8058) - [CVE-2023-4806](https://security-tracker.debian.org/tracker/CVE-2023-4806) - [CVE-2025-32989](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32989) - [CVE-2025-32988](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32988) - [CVE-2025-48964](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-48964) - [CVE-2024-10041](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2024-10041) - [CVE-2025-40909](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-40909) - [CVE-2025-32990](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32990) - [CVE-2025-47268](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-47268) - [CVE-2025-6395](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-6395) - [CVE-2023-4039](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2023-4039) - [CVE-2023-4813](https://security-tracker.debian.org/tracker/CVE-2023-4813) - [CVE-2025-8058](https://security-tracker.debian.org/tracker/CVE-2025-8058) - [CVE-2023-4806](https://security-tracker.debian.org/tracker/CVE-2023-4806) - [CVE-2025-32989](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32989) - [CVE-2025-48964](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-48964) - [CVE-2024-10041](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2024-10041) - [CVE-2025-32988](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32988) - [CVE-2025-40909](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-40909) - [CVE-2025-32990](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-32990) - [CVE-2025-47268](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-47268) - [CVE-2025-6395](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2025-6395) - [CVE-2023-4039](http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2023-4039) - [CVE-2024-56406](https://ubuntu.com/security/CVE-2024-56406) - [CVE-2025-1372](https://ubuntu.com/security/CVE-2025-1372) - [CVE-2025-46836](https://ubuntu.com/security/CVE-2025-46836) - [CVE-2025-30258](https://ubuntu.com/security/CVE-2025-30258) - [CVE-2023-4039](https://ubuntu.com/security/CVE-2023-4039) - [CVE-2025-4802](https://ubuntu.com/security/CVE-2025-4802) - [CVE-2025-1377](https://ubuntu.com/security/CVE-2025-1377) - [CVE-2025-4598](https://ubuntu.com/security/CVE-2025-4598) - [CVE-2025-3576](https://ubuntu.com/security/CVE-2025-3576) --- #### 6. 将 1.21 版本推送到快速发布渠道引入了上游对 ExternalName 和 auto-sni 的重大变更 **发布日期:** 2025-10-16 **更新类型:** Announcement **功能描述:** 将 1.21 版本推送到快速发布渠道引入了上游对 ExternalName 和 auto-sni 在使用 ISTIOD 实现时的重大变更 (breaking changes)。在考虑对客户的影响后，我们决定恢复 1.20 及更早版本中针对使用 ISTIOD 实现的代管式 Cloud Service Mesh 集群的行为，以匹配使用 TRAFFIC_DIRECTOR 实现的快速渠道集群。这些变更正在向快速发布渠道的 1.21.5-asm.55 或更高版本中推出。如果您在快速渠道中使用没有端口描述的 ExternalName 服务，该 ExternalName 服务将不会在 Envoy 配置中被转换为 Cluster。如果 ExternalName 服务是 VirtualService 的目标，或者 ExternalName 服务与 REGISTRY_ONLY 模式一起使用，您必须像在 1.20 及更早版本中一样在服务中指定端口。如果您有一个基于 SNI 进行流量复用的外部服务，但相应的 DestinationRule 没有显式的 SNI，您必须正确设置 SNI。 **相关文档:** - [1.21 to the Rapid release channel](https://cloud.google.com/service-mesh/docs/release-notes#May_06_2025) - [ExternalName](https://istio.io/latest/news/releases/1.21.x/announcing-1.21/upgrade-notes/#externalname-support-changes) - [auto-sni](https://istio.io/latest/news/releases/1.21.x/announcing-1.21/upgrade-notes/#default-value-of-the-feature-flag-enable_auto_sni-to-true) - [implementation](https://cloud.google.com/service-mesh/docs/check-control-plane-implementation) - [set SNI properly](https://cloud.google.com/service-mesh/docs/troubleshooting/troubleshoot-security#explicit_sni_setup) --- #### 7. 集群内 Cloud Service Mesh 1.24 版本已不再受支持。 **发布日期:** 2025-10-15 **更新类型:** Announcement **功能描述:** 集群内 Cloud Service Mesh 1.24 版本已不再受支持。更多信息以及查看其他版本的生命周期终止日期，请参阅支持的版本。 **相关文档:** - [支持的版本](https://cloud.google.com/service-mesh/docs/supported-features-in-cluster#supported_versions) --- #### 8. 1.26.4-asm.7 现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-10-15 **更新类型:** Announcement **功能描述:** 1.26.4-asm.7 现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.26.4-asm.7 版本。它包含了 Istio 1.26.4 的功能，但受限于支持的功能列表。有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh 1.26.4-asm.7 版本使用 Envoy v1.34.8-dev。 **相关文档:** - [Istio 1.26.4](https://istio.io/latest/news/releases/1.26.x/announcing-1.26.4/) - [支持的功能](https://cloud.google.com/service-mesh/docs/supported-features-in-cluster) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- #### 9. 1.25.5-asm.7 包含了针对以下 CVEs 的修复： **发布日期:** 2025-10-15 **更新类型:** Fixed **功能描述:** 1.25.5-asm.7 包含了针对以下 CVEs 的修复： | CVE | 代理 | 控制平面 | CNI | Distroless | | --- | --- | --- | --- | --- | | CVE-2025-6297 | 是 | 是 | 是 | - | | CVE-2024-10963 | 是 | 是 | 是 | - | | CVE-2025-4802 | - | - | - | 是 | | CVE-2025-8058 | 是 | 是 | 是 | 是 | **相关文档:** - [CVE-2025-6297](https://ubuntu.com/security/CVE-2025-6297) - [CVE-2024-10963](https://ubuntu.com/security/CVE-2024-10963) - [CVE-2025-4802](https://security-tracker.debian.org/tracker/CVE-2025-4802) - [CVE-2025-8058](https://ubuntu.com/security/CVE-2025-8058) --- #### 10. 1.27.1-asm.5 包含了针对以下 CVEs 的修复： **发布日期:** 2025-10-15 **更新类型:** Fixed **功能描述:** 1.27.1-asm.5 包含了针对以下 CVEs 的修复： | CVE | 代理 | 控制平面 | CNI | Distroless | | --- | --- | --- | --- | --- | | CVE-2025-6297 | 是 | 是 | 是 | - | | CVE-2024-10963 | 是 | 是 | 是 | - | | CVE-2025-9230 | 是 | 是 | 是 | - | | CVE-2025-8058 | 是 | 是 | 是 | 是 | | CVE-2025-4802 | - | - | - | 是 | **相关文档:** - [CVE-2025-6297](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-6297) - [CVE-2024-10963](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2024-10963) - [CVE-2025-9230](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-9230) - [CVE-2025-8058](http://people.ubuntu.com/~ubuntu-security/cve/CVE-2025-8058) - [CVE-2025-4802](https://security-tracker.debian.org/tracker/CVE-2025-4802) --- #### 11. 1.27.1-asm.5 现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-10-15 **更新类型:** Announcement **功能描述:** 1.27.1-asm.5 现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.27.1-asm.5 版本。它包含了 Istio 1.27.1 的功能，但受限于支持的功能列表。有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。Cloud Service Mesh 1.27.1-asm.5 版本使用 Envoy v1.35.4-dev。 **相关文档:** - [Istio 1.27.1](https://istio.io/latest/news/releases/1.27.x/announcing-1.27/) - [支持的功能](https://cloud.google.com/service-mesh/docs/supported-features-in-cluster) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/docs/upgrade/upgrade) --- #### 12. 1.26.4-asm.7 包含了针对以下 CVEs 的修复： **发布日期:** 2025-10-15 **更新类型:** Fixed **功能描述:** 1.26.4-asm.7 包含了针对以下 CVEs 的修复： | CVE | 代理 | 控制平面 | CNI | Distroless | | --- | --- | --- | --- | --- | | CVE-2024-10963 | 是 | 是 | 是 | - | | CVE-2025-8058 | 是 | 是 | 是 | 是 | | CVE-2025-4802 | - | - | - | 是 | **相关文档:** - [CVE-2024-10963](https://ubuntu.com/security/CVE-2024-10963) - [CVE-2025-8058](https://ubuntu.com/security/CVE-2025-8058) - [CVE-2025-4802](https://security-tracker.debian.org/tracker/CVE-2025-4802) --- #### 13. 1.25.5-asm.7 现已可用于集群内 Cloud Service Mesh。 **发布日期:** 2025-10-15 **更新类型:** Announcement **功能描述:** 1.25.5-asm.7 现已可用于集群内 Cloud Service Mesh。您现在可以下载用于集群内 Cloud Service Mesh 的 1.25.5-asm.7 版本。它包含了 Istio 1.25.5 的功能，但受限于支持的功能列表。Cloud Service Mesh 1.25.5-asm.7 版本使用 envoy v1.33.10-dev。有关升级 Cloud Service Mesh 的详细信息，请参阅升级 Cloud Service Mesh。 **相关文档:** - [Istio 1.25.5](https://istio.io/latest/news/releases/1.25.x/announcing-1.25.5/) - [支持的功能](https://cloud.google.com/service-mesh/v1.25/docs/supported-features-in-cluster) - [升级 Cloud Service Mesh](https://cloud.google.com/service-mesh/v1.25/docs/upgrade/upgrade) --- ## 数据来源本文档内容来源于 GCP 官方 Release Notes 页面，具体更新详情请访问: - https://cloud.google.com/armor/docs/release-notes - https://cloud.google.com/cdn/docs/release-notes - https://cloud.google.com/load-balancing/docs/release-notes - https://cloud.google.com/nat/docs/release-notes - https://cloud.google.com/service-mesh/docs/release-notes - https://cloud.google.com/vpc/docs/release-notes **生成时间:** 2025-12-22 10:55:21