我们很高兴地宣布HashiCorp consur 1.2的发布。这个版本支持一个名为Connect的主要新特性，它可以自动将任何现有的consur集群转换为服务网格解决方案。Connect通过自动TLS加密和基于身份的授权实现安全的服务到服务通信。立即下载consur目前部署在全球数百万台机器上。在升级到consur1.2并启用Connect之后，任何现有的集群都将立即成为服务网格解决方案，可以在任何平台上工作：物理机、云、容器、调度程序等等。»具有服务网格的现代服务网络对于采用微服务和基于云的动态基础设施的组织来说，服务网格是必要的。传统的基于主机的网络安全必须被现代基于服务的安全性所取代，以适应现代运行时环境的高度动态性。服务网格为三个关键问题提供了高可用性、分布式解决方案：发现：服务必须能够找到彼此。配置：服务必须接受来自中央源的运行时配置。分段：服务通信必须经过授权和加密。在此版本之前，consur使用DNS进行发现和配置，并使用K/V进行配置。Connect现在解决了分割用例。所有这三个特性共同提供了一个在任何平台上都能工作的完整的服务网格解决方案。»CONSUR Connect公司Connect是CONSUR的一个主要新功能，它通过自动TLS加密和基于身份的授权来提供安全的服务对服务通信。今天发布的Connect特性是完全免费的开源的。Connect作为一个公共测试功能在consur1.2中可用。Connect的构建考虑到了易用性。它可以通过一个配置选项来启用，并且在服务注册中添加一个额外的行将自动使任何现有的应用程序都能够接受基于连接的连接。证书轮换是自动的，不会导致停机。对于所有必需的子系统，Connect只需要一个二进制文件。以及我们稍后将介绍的许多其他特性。虽然易于使用，Connect为consur提供了许多新功能。我们将在本文后面详细介绍这些功能，但首先我们将列举concur与Connect的所有主要新功能：加密流量：所有流量通过相互TLS与Connect建立。这确保了所有的流量在传输过程中都是加密的。这允许在低信任度环境中安全地部署服务。连接授权：通过创建带有意图的服务访问图来允许或拒绝服务通信。与使用IP地址的防火墙不同，Connect使用服务的逻辑名称。这意味着规则是独立于规模的；不管是一个web服务器还是100个web服务器。可以使用UI、CLI、API或HashiCorp Terraform配置意图。代理sidecar：应用程序可以使用一个轻量级的代理sidecar进程来自动建立入站和出站TLS连接。这使得现有的应用程序可以在不修改的情况下使用Connect。consur船上有一个不需要外部依赖的内置代理，以及第三方代理，如特使。本机集成：性能敏感的应用程序可以与concur Connect api进行本机集成，在没有代理的情况下建立和接受连接，以获得最佳性能和安全性。第4层与第7层：身份在第4层强制执行。consur将第7层特性和配置委托给可插拔数据层。您可以与第三方代理（如特使）集成，以实现基于路径的路由、跟踪等功能，同时依靠consur进行服务发现、身份和授权。证书管理：consur使用证书颁发机构（CA）提供程序生成和分发证书。consur附带一个不需要外部依赖的内置CA系统，与HashiCorp Vault集成，还可以扩展到支持任何其他PKI系统。证书轮换：Connect可以自动轮换根证书和叶证书。根循环使用证书交叉签名来确保新旧证书在轮换期间可以共存，因此不会出现服务中断。此系统还允许无缝配置新的CA提供程序。基于SPIFFE的标识：consur对服务标识使用SPIFFE规范。这使Connect服务能够建立并接受与其他SPIFFE兼容系统的连接。网络和云无关：Connect使用TCP/IP上的标准TLS。这允许Connect在任何网络配置上工作，只要底层操作系统可以访问目标服务公布的IP。此外，服务可以跨云通信，而无需复杂的覆盖。»自动代理侧车应用程序可以使用代理侧车来建立入站和出站连接，而不必修改原始应用程序。启用连接后，对任何服务注册进行单行更改都可以使该服务接受基于连接的连接：{"服务"：{"name"："web"，"端口"：8080，"connect"：{"proxy"：{}}}}唯一的区别是以"connect"开头的行。此单行更改的存在将配置consur自动启动和管理此服务的代理进程。代理进程表示该特定的服务。它接受动态分配端口上的入站连接，验证和授权TLS连接，并将标准TCP连接代理回进程。对于上游依赖项，再多几行代码将配置一个侦听器，以通过连接将连接代理到服务。例如，如果我们的"web"服务需要通过Connect与"db"服务通信：{"服务"：{"name"："web"，"端口"：8080，"连接"：{"代理"：{"配置"：{"上游"：[{"destination_name"："数据库"，"本地端口"：9191}]}}}}}这会将托管代理配置为在端口9191上设置仅本地侦听器，以代理到任何远程"db"服务。本站和本站之间的通信将由本站和本站进行加密。请注意，在这些示例中，原始应用程序"web"保持不变，并且不知道Connect。由于只有一到几行配置，任何应用程序都可以使用自动管理的sidecar代理接受和建立基于连接的连接。要了解更多信息，请阅读代理的参考文档。如果应用程序具有极高的性能要求，则应用程序可以与Connect进行本机集成。这使得服务根本不需要代理。»方便的开发连接为了获得最佳的安全性，服务应该只接受基于连接的连接。然而，这带来了连接服务以进行开发或测试的挑战。consur提供了一个易于使用的consur connect proxy命令，用于运行通过connect与服务建立连接的本地代理。考虑一个示例场景，其中有一个运行的PostgreSQL服务器只接受通过Connect的连接，并且操作员希望使用psql连接到该数据库以进行维护。操作员可以使用consur connect proxy命令，通过psql使用本地计算机进行连接：$consur connect proxy-服务mitchellh-上游p奥斯特格瑞SQL:9191==>CONSUR Connect代理正在启动。。。配置模式：标志服务：mitchellh上游：postgresql=>：9191公共侦听器：已禁用...从另一个shell，它们可以使用标准psql进行连接：$psql-h 127.0.0.1-p 9191-U米切尔mydb>-service标志表示源的标识。服务不需要存在，但调用方必须具有有效的ACL令牌才能注册此服务，并且consur必须配置为允许源和目标之间的连接。使用远程服务进行本地开发和测试是服务网格的常见工作流挑战，使用consur和Connect非常简单。»有意图的访问控制服务之间的访问控制配置为"意图"。意图是单个源和目标之间的允许或拒绝规则。意图可以通过UI、CLI、API或Terraform创建。按照上面的示例，要允许从web访问db服务，请执行以下操作：$consur intential create-允许web数据库创建：web=>db（允许）允许"web"服务与"db"通信。然后可以将意图更新为-deny以立即禁用两个服务之间的连接。意图可以与服务部署分开管理，并且可以配置ACL规则，以便人们只能修改特定服务的意图。这使得安全性和分段可以近乎实时地进行动态配置和控制。»了解更多和未来我们对conver1.2及其支持的主要新功能感到兴奋。由于功能的大小和影响，Connect应该被视为consur1.2的beta版本。我们整个夏天都在为Connect努力工作，希望在年底前删除beta标签。未来，我们还将为Connect构建更多的功能，包括新的UI增强、支持将特使作为代理、与Nomad和Kubernetes集成等等。我们刚刚开始使用Connect in CONSULT 1.2。要下载conver1.2，请访问https://www.consur.io/。以下几页是了解更多信息的良好后续步骤：功能主页-这是Connect IN CONVER的专用主页，包含其提供的功能概述和入门链接。连接介绍步骤-介绍指南已经扩展到介绍连接的步骤，并包括一个在几分钟内使用连接的演练。接入