Envoy Gateway v1.4.1 版本发布：增强TLS验证与稳定性优化

项目简介

Envoy Gateway 是一个基于 Envoy 代理构建的云原生 API 网关解决方案，旨在为 Kubernetes 环境提供简单易用的网关功能。它通过自定义资源定义(CRD)的方式，让用户能够以声明式的方式配置和管理网关路由、流量策略等高级功能。

核心特性更新

上游TLS验证增强

v1.4.1 版本引入了对上游服务 TLS 验证中 Subject Alternative Names (SANs) 的支持。通过 BackendTLSPolicy.validation.subjectAltNames 配置项，管理员现在可以精确指定允许连接的上游服务证书中的 SANs 列表。这一改进显著增强了服务间通信的安全性，特别是在微服务架构中，能够有效防止中间人攻击。

基础设施资源所有权管理

当启用 Gateway Namespace 模式时，Envoy Gateway 现在能够为基础设施资源设置 ownerReference。这一改进确保了资源生命周期的正确管理，当父资源被删除时，相关的子资源也会被自动清理，避免了资源泄漏问题。

重要问题修复

TLS配置重叠问题

修复了合并多个 Gateway 资源时可能出现的 TLS 配置重叠问题。现在系统能够正确识别和处理这种情况，确保 TLS 配置的一致性。

速率限制功能优化

1. 修复了当 clientSelector 未指定时共享规则在速率限制转换器中的处理问题
2. 解决了 BackendTrafficPolicy 和路由目标速率限制策略合并时的逻辑缺陷
3. 替换了全局速率限制 Grafana 仪表板中的静态 UID 为动态 UID，提高了监控系统的灵活性

监听器功能完善

修复了 UDP 监听器在 Envoy 代理 xDS 配置中未正确创建的问题，确保了 UDP 协议服务的正常访问。

WASM扩展处理

修正了当路由未配置 WASM 但 EnvoyExtensionPolicies 中 WASM 缓存初始化失败时返回 HTTP 500 错误的问题。现在系统能够更优雅地处理这类情况。

其他改进

• 优化了后端 TLS 端到端测试的可靠性
• 将 Go 语言版本升级至 1.24.3，提升了运行时性能和安全性

技术价值分析

v1.4.1 版本虽然在版本号上是一个小版本更新，但在生产环境稳定性方面做出了重要改进。特别是对 TLS 验证和速率限制功能的完善，使得 Envoy Gateway 在安全性和流量管理方面更加可靠。基础设施资源所有权管理的引入，则体现了项目对 Kubernetes 原生资源管理模式的深度适配，有助于提升集群资源管理的规范性。

对于已经采用 Envoy Gateway 的用户，建议尽快升级到此版本以获得更好的安全性和稳定性。新用户也可以从这个版本开始评估，因为它修复了多个可能影响生产环境的关键问题。