Linkerd 2.19 发布：后量子密码学

Linkerd 2.19 正式上线，此次更新标志着其安全能力的重大飞跃：默认启用全新 TLS 架构，并集成后量子密钥交换算法，全面提升通信安全性。

作为 Buoyant 宣布商业化成功并确保 Linkerd 长期可持续发展以来发布的第三大版本，Linkerd 2.19 延续了一贯的设计理念——简化运维操作，让服务网格在保持高性能与高扩展性的同时更易于管理。

官方公告速览

• 推出 Buoyant Enterprise for Linkerd 2.19：新增对 Windows 服务网格的支持，引入后量子加密、软件供应链安全机制、FIPS 140-3 合规认证，以及全新的集群可视化仪表板

迈向后量子安全的 TLS 升级

Linkerd 2.19 对内部 TLS 实现进行了深度重构，全面为后量子计算威胁做好准备。核心加密库由原来的 ring 替换为 aws-lc，显著增强密码学基础。新版本默认启用 AES_256_GCM 加密套件和基于 NIST 标准化的 ML-KEM-768 后量子密钥封装机制，确保所有服务间 Pod 通信均受先进加密保护。同时，TLS 使用的密码套件、密钥交换方式及签名算法均已纳入标准监控指标，便于审计与观测。

主要更新特性

Linkerd 2.19 将原生 sidecar 支持从 alpha 阶段推进至 beta 阶段。该功能自 Linkerd 2.15 版本引入，并于今年四月获得 Kubernetes 社区正式支持。原生 sidecar 解决了传统 sidecar 在 Job 工作负载中的启动问题和容器初始化时的竞争条件缺陷。用户可通过添加注解 config.beta.linkerd.io/proxy-enable-native-sidecar 来启用此模式。

此外，本版本还修复了多个关键问题：

• 现在会阻止对 clusterIP 服务中未在 Service 定义里声明的端口发起连接，行为与 kube-proxy 保持一致；
• 修复 native-sidecar 模式下 linkerd-admin 端口的服务发现缓存失效问题；
• 修复控制平面在处理包含非法主机名的发现请求时可能触发 panic 的隐患；
• 修复因 Server 资源中 podSelector 配置错误导致其他合法 Server 资源无法正常处理的问题。

源码地址：点击下载