我们很高兴地宣布HashiCorp consur 1.8正式上市。consur是一个多云服务网络平台，用于跨任何运行时平台和公共或私有云连接和保护服务。consur1.8增加了一些特性，降低了在异构环境中采用服务网格的门槛。为了实现这一点，组织可以在不增加人工开销的情况下将任何服务集成到服务网格中，并将该网格扩展到任何区域或云中的Kubernetes和非Kubernetes环境。此外，此版本添加了新的企业功能，允许基于身份的身份验证，并通过操作可跟踪性帮助满足法规遵从性要求。此版本包含以下功能：入口网关：提供快速入口路径，允许驻留在服务网格外部的应用程序与网格内的服务进行通信。了解如何开始使用入口网关。终止网关：允许驻留在服务网格内的应用程序与网格外部的现有服务进行通信。了解如何开始使用终止网关。网状网关上的广域网联合：简化了多集群和多数据中心consur环境（联合数据中心），方法是通过Mesh网关发送所有跨环境流量，而不是要求所有consur服务器跨网络公开。了解如何开始使用WAN联盟。审计日志记录（仅限consur Enterprise）：为安全管理员提供了一种方法，可以清楚地捕获consur集群中的所有用户操作，以满足法规遵从性要求，并执行风险评估。单点登录（仅限consur Enterprise）：允许操作员将身份验证委托给支持浏览器的SSO提供者（例如Okta）。允许用户自助服务ACL令牌来管理conver中的构造（服务组、命名空间、KV、中心配置等），提供了一个基于SSO标识为服务和用户提供令牌的工作流。对网关的集成Helm支持：提供使用consur-Helm图表部署入口、终端和广域网联盟网格网关的能力。请查看Consul 1.8变更日志以获取详细的变更列表。二进制文件可以在这里下载。»入口网关通常，当采用服务网格技术时，从业者会发现应用程序的入职和迁移过程需要时间，并且是分阶段进行的。在此迁移过程中，驻留在物理或虚拟数据中心中的应用程序通过网关与mesh中的应用程序通信，网关允许向上游服务（即最终响应请求的服务）发送流量。consur中的入口网关功能为运营商提供了一个快速而简单的入口解决方案，以开始将服务转换到consur服务网格。在这个版本中，执政官连接特使命令现在包括入口网关作为一个新的选项。这使得可以运行一个enjor实例，该实例配置为通过单个入口点向网格外部的消费者公开consur服务的动态子集。入口网关支持向服务网格体系结构的增量迁移，而不需要显式的网络覆盖或需要额外的服务容量开销。consur入口网关可以选择性地配置为提供consur生成的TLS证书，用于加密流量。这将允许外部服务在信任consur证书颁发机构的情况下与ingres网关协商可信TLS连接。入口网关也可以是应用意图的一个点，在consur服务网格中进一步应用安全策略。由于入口网关是consur服务网格的一部分，因此它们也可以作为一个逻辑点，在这里您可以应用第7层的流量策略，如拆分、路由或基于主机的路径。这使consur能够为关心管理应用程序生命周期的从业者驱动渐进式交付用例。»终端网关consur服务网格通过mTLS提供服务之间的自动加密通信。服务到服务的连接由意图控制，意图决定一个服务是否可以连接到另一个服务。意图简化了网络安全，因为分段是基于服务标识而不是短暂的源/目的地ip。由于外部限制或缺乏基础设施自动化，组织通常会逐步过渡到服务网格。在这种情况下，用户在过渡过程中可能会在mesh内外长时间地操作服务。还有一些情况下，某些服务永远不会在网格内。在这些不可避免的混合部署中，mesh中的服务当前需要直接连接到外部服务。这是一种退化的用户体验——不同的服务以不同的方式被发现，并不是所有的连接都用MTL加密，意图只控制连接的一个子集。在此版本中，consur服务网格功能支持创建终止网关。终止网关是出口代理，用于终止Connect mTLS连接、强制执行意图并将请求转发到适当的目标服务。»网状网关上的广域网联盟应用程序很少全部部署到单一的同质环境中。通常，工作负载和应用程序部署在多个异构平台、网络和数据中心上。consur支持这些复杂的拓扑结构。它使运营商能够部署单独的consur数据中心，并通过联合将这些数据中心连接在一起。在consur1.8中，新的通过Mesh网关的广域网联盟功能减少了将数据中心连接在一起的操作负担。在此版本之前，数据中心之间的服务到服务通信将通过位于边缘的网状网关进行路由。此外，数据中心之间的CONSUR控制平面通信要求每个CONSUR服务器也部署在边缘。随着consur1.8中实现的广域网联盟增强，我们能够让Mesh网关处理所有通信的流量，包括WAN八卦流量。由于流量在这些网关后面，consur可以处理复杂的环境，这些环境可能是孤立的，存在于复杂的NAT场景之后，甚至可以利用重叠的IP地址空间。»审核日志记录注意：这是一个领事企业功能作为企业软件，Consult的许多用户都要遵守HIPAA、PCI、GDPR等法规。作为这些法规的一部分，CONSULT客户要求系统中所有操作的事件的详细记录。在此版本中，consur Enterprise包含以下审核日志记录功能：清晰、可操作、JSON格式的日志，记录应用程序或consur中的人员获取的经过身份验证的事件（包括尝试的和提交的）。明确的法规遵从性。consur现在向操作人员和安全人员提供系统内启动的操作的详细历史记录。这些事件包含时间戳、执行的操作和启动操作的用户»单一登录注意：这是一个领事企业功能传统上，用户使用令牌进行身份验证并获得对consur的访问权限，令牌是仅存在于conv中的访问标识符。然而，许多组织希望将conver与现有的企业身份验证系统集成。单点登录（SSO）使运营商能够将身份验证委托给支持浏览器的OIDC提供商（如Okta），以允许用户自助服务ACL令牌来管理服务组、命名空间、KV、中央配置，等等，consur enterprise客户现在可以采用相同的工作流来基于SSO标识为服务和用户提供令牌。»结论consul1.8版本为服务网格和添加企业治理需求提供了更容易的采用途径。我们要感谢我们活跃的社区成员，他们在本版本中为consur添加新功能、报告错误和改进文档方面发挥了宝贵的作用。请访问我们的"学习"页面，了解有关如何开始使用网关功能的更多信息，包括网状网关、入口网关和终端网关。