Envoy Gateway v1.2.8版本发布：安全加固与性能优化

Envoy Gateway是基于Envoy代理构建的Kubernetes原生API网关，它通过扩展Kubernetes Gateway API规范，为云原生应用提供了强大的流量管理能力。作为Envoy Proxy的上层抽象，Envoy Gateway简化了复杂网络功能的配置和管理，使开发者能够更专注于业务逻辑而非基础设施。

安全增强

本次v1.2.8版本重点修复了多个安全问题，显著提升了系统的安全性。其中最为关键的是修复了CVE-2025-30157问题，该问题会导致本地回复被错误地发送到外部处理服务器，可能造成信息泄露。开发团队通过重构请求处理流程，确保了本地回复仅在内部处理，不再流向外部服务。

针对速率限制组件，团队集成了最新的golang net/http包安全更新，解决了潜在的HTTP请求处理安全问题。这些更新使得速率限制功能在面对异常请求时更加健壮，能够有效防止潜在的拒绝服务风险。

核心功能改进

在Kubernetes集成方面，v1.2.8版本增加了对BackendTLSPolicy和EnvoyExtensionPolicy的独立模式解析支持。这意味着用户现在可以在非Kubernetes环境中使用这些高级策略，扩展了Envoy Gateway的适用场景。

端点更新机制也得到了优化，特别是当镜像后端Pod IP发生变化时，系统能够更可靠地同步这些变更。这一改进确保了在动态Kubernetes环境中，流量路由能够及时响应Pod的变化，避免服务中断。

性能优化

性能方面，v1.2.8引入了一个针对Wasm OCI镜像权限检查的缓存机制。通过将权限检查结果缓存，并异步验证pullSecrets与OCI镜像仓库的匹配性，显著减少了启动延迟。这一优化特别有利于频繁部署Wasm扩展的场景，提升了整体系统响应速度。

日志与监控增强

日志系统也获得了多项改进。修复了OpenTelemetry访问日志接收器因'otel.Text为空'而失败的问题，确保了日志数据的完整性。同时优化了GatewayClass未被接受时的错误处理逻辑，现在会正确记录错误信息并返回，帮助管理员更快诊断配置问题。

兼容性更新

作为常规维护的一部分，v1.2.8版本将核心Envoy代理升级至v1.32.4，集成了上游项目的最新功能和修复。速率限制组件也更新到了0141a24f版本，包含了多项性能优化和稳定性改进。

总结

Envoy Gateway v1.2.8版本在安全性、稳定性和性能方面都有显著提升，特别是针对生产环境中常见的安全风险和性能瓶颈进行了针对性优化。对于正在使用或考虑采用Envoy Gateway的团队，这个版本提供了更可靠的基础设施选择，特别是在需要处理重要数据或高流量负载的场景下。