Gloo项目v1.18.7版本发布：增强安全性与稳定性

Gloo项目v1.18.7版本发布：增强安全性与稳定性

Gloo是一个基于Envoy的开源API网关，由Solo.io公司开发维护。它提供了丰富的功能集，包括流量管理、安全策略、可观测性等，是现代云原生应用架构中的重要组件。Gloo的设计理念是简单易用，同时保持高度可扩展性，能够很好地适应Kubernetes和传统环境。

近日，Gloo项目发布了v1.18.7版本，这是一个维护性更新，主要聚焦于安全增强和稳定性改进。下面我们将详细介绍这个版本带来的重要变化。

安全增强：xDS over mTLS支持

本次版本最重要的改进之一是增加了对xDS over mTLS的支持。xDS是Envoy配置发现服务的协议，用于控制平面(如Gloo)和数据平面(如Envoy代理)之间的通信。在之前的版本中，这种通信默认是不加密的。

v1.18.7版本引入了全局配置选项global.glooMtls.enabled，当设置为true时，Gloo控制平面与Kubernetes Gateway代理之间的xDS通信将启用双向TLS认证。这一改进显著提升了控制平面与数据平面之间通信的安全性，特别是在多租户或安全要求较高的环境中。

镜像构建改进

本次更新还改进了Gateway参数镜像的构建过程，使其能够正确响应全局配置中的FIPS和distroless变体设置。具体来说，当通过global.image.variant指定FIPS或distroless变体时，Kubernetes Gateway代理镜像现在会正确地构建为对应的安全强化版本。

FIPS(Federal Information Processing Standards)是一套信息安全标准，符合FIPS的软件经过了更严格的安全评估。而distroless镜像是一种极简的容器镜像，只包含应用程序及其运行时依赖，不包含shell、包管理器等组件，从而减少了潜在风险。

稳定性与日志优化

在稳定性方面，v1.18.7版本修复了一个可能导致Gloo错误处理不属于它的Gateway资源的问题。这种错误处理可能导致配置混乱或资源冲突，现在通过更精确的资源归属检查得到了解决。

此外，该版本还从solo-kit依赖中引入了一个日志级别的优化，降低了快照缓存监视的日志级别。这一改动减少了控制平面的日志噪音，使运维人员能够更专注于真正需要关注的日志信息。

依赖更新

作为常规维护的一部分，v1.18.7版本将solo-kit依赖升级到了v0.36.4版本。solo-kit是Solo.io开发的一套工具库，为Gloo等产品提供了基础功能支持。这种依赖更新通常带来性能改进、bug修复和安全补丁。

总结

Gloo v1.18.7虽然是一个小版本更新，但在安全性和稳定性方面做出了重要改进。特别是xDS over mTLS的支持，为生产环境部署提供了更强的安全保障。对于已经使用Gloo的用户，特别是那些运行在安全要求较高环境中的用户，建议评估升级到此版本以获取这些安全增强。

对于考虑采用Gloo的新用户，这个版本进一步巩固了Gloo作为企业级API网关的定位，展示了项目团队对安全性和稳定性的持续投入。