功能发布记录

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

CNI兼容debian_12_7_x64_20G_alibase_20241031.vhd

ASM CNI支持使用Debian操作系统的节点。

全部

1.24及以上

全部

无

使用ASMMeshConfig CRD配置网格实例

ASMMeshConfig是阿里云服务网格ASM提供的自定义资源，用于全局配置服务网格的核心参数。通过该CRD可集中管理网格层级的连接超时、协议检测、路径标准化、重试策略等配置，以及支持Sidecar注入器的资源配额与行为控制等。

全部

1.24及以上

全部

ASMMeshConfig CRD说明

消息队列适配泳道

在灵活泳道场景中，如果希望消息队列能够维持和携带染色信息，则需要应用进行一定的适配，ASM提供了标准的适配方案供参考。

全部

1.21及以上

全部

在ASM宽松泳道中适配消息队列

ASMEgressTrafficPolicy支持对接外部TCP服务

ASMEgressTrafficPolicy新增对外部TCP服务的支持，现在您可以使用ASMEgressTrafficPolicy轻松配置HTTP、HTTPS、TCP等协议的出口流量。此次更新还支持了自动分配出口网关端口，降低维护负担。

全部

1.24及以上。

全部

使用ASMEgressTrafficPolicy管理出口流量

提供ASMExtensionProviders CRD文档

ASMExtensionProvider是用于扩展和配置网格功能的组件，支持链路追踪、访问日志等关键特性的灵活集成与定制化配置。

全部

1.23及以上

全部

ASMExtensionProvider CRD说明

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

支持1.24发布

支持Istio 1.24版本。

全部

N/A

全部

版本机制

支持针对集群内LLM服务增强负载均衡能力并进行LLM流量管理

针对部署在Kubernetes集群中的LLM推理服务，由于LLM推理流量和工作负载的特殊性，经典的负载均衡方法效果不佳，且无法从日志和监控指标中获取LLM推理相关信息。

服务网格ASM支持为集群内部署的LLM推理服务声明推理服务池和路由定义，在提升LLM推理服务负载均衡性能的同时，实现推理流量的路由和可观测性。目前支持基于vLLM部署的LLM推理服务。

全部

1.24或更新版本

全部

基于请求队列、KVCache以及LoRA感知等多维度的智能路由与流量管理

从Istio原地迁移

支持已经安装Istio的集群原地迁移至ASM，在迁移过程中ASM和Istio同时存在，用户可以逐步将工作负载由注入Istio Sidecar切换为注入ASM网格代理，直至将全部Istio Sidecar替换为ASM网格代理。该功能可以帮助用户渐进式、无Downtime地将Istio迁移至ASM。

当前ASM原地迁移支持迁移单集群Istio、Primary-Remote、Multi-Primary以及Primary-Remote和Multi-Primary架构混合的Istio部署迁移至ASM。

全部

1.24或更新版本

全部

从Istio原地灰度迁移至ASM

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

支持1.23发布

支持Istio 1.23版本。

全部

1.23或更新版本

全部

版本机制

使用Envoy External Processing对请求进行自定义处理

Envoy External Processing是一种扩展能力，使得Envoy可以通过外部处理服务来增强其HTTP请求/响应处理功能，而不用编写Wasm插件或是其他处理脚本，从而使处理更加灵活和可扩展。

全部

1.23或更新版本

全部

使用Envoy External Processing对请求进行自定义处理

支持基于LLM请求Token进行限流

LLM请求限流和普通的HTTP请求不同。每个LLM请求消耗的Token数是不固定的，需要动态从响应中获取。ASM默认提供了基于令牌桶算法的LLM请求限流能力，您也可以自行定制限流算法。

全部

1.23或更新版本

全部

基于请求Header实现LLM Token限流

支持从服务发现范围中排除指定标签的Pod

当一个Pod在服务发现范围之外时，服务网格控制面将不会发现此Pod，任何被Sidecar代理的请求将不会发送到此Pod。您可以通过配置标签选择器的方式，从服务发现范围中排除满足指定标签的Pod。通过这种方式，可以快速转移Pod接收的所有流量，实现故障发生时的快速流量转移。

全部

1.20或更新版本

全部

配置服务发现范围提升网格配置的推送效率

ASMGrpcJsonTransCoder新增字段支持

ASMGrpcJsonTranscoder CRD用于进行JSON/HTTP-gRPC协议转码。在1.22版本及以上，ASMGrpcJsonTranscoder新增了多个字段支持，以支持转换gRPC错误到响应体、忽略特定请求查询参数等高级场景。

全部

1.22或更新版本

全部

ASMGrpcJsonTranscoder CRD说明

LLM流量管理

目前主流的大语言模型（LLM）提供商大多是通过HTTP协议向用户提供服务。在HTTP协议的基础上，针对LLM请求进行了特别优化。现在已支持多个主流LLM提供商的协议标准，为您提供了简单高效的接入体验。本文将从流量路由、可观测两个角度介绍如何在ASM中管理LLM流量。

国际站

1.21或更新版本

全部

LLM流量管理

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

结合泳道与哈希打标实现按用户身份的灰度测试

在生产环境中，开发者可能会希望使用泳道对稳定版本和灰度版本进行隔离，并根据用户身份路由至不同的泳道中。具体来说，您可能希望指定一部分特定身份的用户路由至灰度版本进行测试，其余用户则通过权重的方式随机匹配一定数量的请求路由至灰度版本。

全部

1.18或更新版本

全部

结合泳道与哈希打标实现基于用户身份的灰度测试

ASM支持RBAC命名空间级别授权

您可以通过RBAC授权控制RAM用户和RAM角色对ASM自定义资源的操作权限，当RAM用户和RAM角色需要操作ASM内的自定义资源时，您需要对RAM用户和RAM角色进行RBAC授权。

全部

全部

全部

授予RAM用户和RAM角色RBAC权限

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

支持多主控制面模式

支持多主控制面模式，即由多个服务网格实例共同管理多个Kubernetes集群的架构模式。多主控制面架构相比单个ASM实例添加多个Kubernetes集群，在配置隔离、配置下发延迟等方面有明显优势，更适用于搭建业务对等部署的多集群容灾方案。

全部

1.22 及以上

全部

通过ASM多主控制面架构实现多集群容灾

原生Sidecar代理说明文档

Kubernetes从1.28开始支持了原生Native Sidecar机制，完善了其生命周期与 Pod 生命周期的已知问题。ASM从1.22开始适配支持了该功能, 支持自适应切换启用通过原生Sidecar模式将网格代理容器加入到Pod中。

全部

1.22及以上

全部

使用原生Sidecar方式部署网格代理

增加流量调度套件相关指标采集说明

集成阿里云可观测监控Prometheus版或自建Prometheus实例，可以配置采集ASM请求调度Agent的监控指标，以监控ASM流量调度套件中各个策略对流量的调度控制行为

全部

1.21及以上

全部

使用ASM流量调度套件进行分布式系统流量控制

使用WASM插件扩展ASM中监控指标的维度信息

除了内置的多个监控指标及指标维度之外, ASM提供了强大的扩展机制，可以基于请求或响应信息自行编写处理逻辑，将处理后的结果添加到监控指标的维度中, 从而可以更好地监控应用的运行情况。

全部

1.18及以上

全部

使用Wasm插件扩展ASM监控指标的维度信息

新增监控指标定期清理机制

服务网格 ASM会为所有流入、流出及网格内部的服务流量生成指标，以便监控服务行为。这些指标包括总流量数、错误率和请求响应时间等信息。然而，长时间运行会生成大量的指标数据，显著增加了Envoy和Prometheus的资源消耗。为此，ASM提供了定期清理监控指标的配置，支持定期清理Envoy中缓存的一段时间内未使用的指标，以减少Envoy内存消耗，并降低Prometheus拉取指标时的网络负载。

全部

1.18及以上

全部

配置ASM监控指标定期清理

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

支持云盒上部署使用ASM

您可以在ACK集群中创建云盒节点池，将业务Pod调度至云盒节点上来使用云盒资源。将ACK集群添加至ASM后，ASM将同时管理公共云和云盒节点池中的Pod，为应用之间的流量提供丰富、统一的路由、安全以及可观测能力。

全部

全部

全部

通过ASM管理ACK云盒节点上的工作负载

支持用户导入Kubeconfig进行集群管理

ASM支持使用具有集群管理员权限的Kubeconfig来导入任意类型的Kubernetes集群，并对其进行应用管理。

全部

1.22或更新版本

全部

管理通过Kubeconfig导入的Kubernetes集群

最佳实践： 端到端的安全能力

在TLS通信中，客户端会校验服务端提供的证书是否合法，而客户端自身并不需要提供证书，这就意味着服务端无法校验客户端的身份。在一些需要更高级别安全配置的场景中，服务端同样需要校验客户端的身份，此时就需要使用mTLS通信。mTLS通信要求客户端和服务端都提供证书，互相校验通过后才可以进行加密通信。

全部

1.22或更新版本

全部

• 使用ASM实现应用全链路mTLS加密

• 在ASM入口网关上配置mTLS服务并限制特定客户端访问

• 使用ASM出口网关访问外部mTLS服务

最佳实践：

自定义error page

ASM网关或网格代理在特定情况下，可能直接向下游返回带有特定响应码的HTTP响应，而不会将请求代理到上游服务。CustomLocalReply插件可以自定义ASM网关或网格代理在直接向下游响应时的响应体、响应码以及响应内容。对于每种响应码，可以分别定义不同的响应内容。

全部

全部

全部

CustomLocalReply插件

ASMSwimlane/ASMSwimlaneGroup CRD说明补充

流量泳道支持自定义泳道组内服务上的目的地流量策略以及HTTP路由操作。

全部

1.22或更新版本

全部

ASMSwimLaneGroup和ASMSwimLane CRD说明

支持远程控制面模式

当数据面集群位于其他云服务或线下数据中心，与ASM控制面通过公网或其他特殊方式连通，并且连通的网络环境不稳定或带宽受限时，推荐使用ASM远程控制面来降低推送延迟。

全部

1.22或更新版本

全部

• 使用ASM远程控制面降低推送延迟

• 实现远程控制面和托管控制面工作负载相互访问

使用Rust开发Wasm插件

ASM支持在网格代理中部署Wasm插件来实现一些自定义处理逻辑。proxy-wasm社区提供了Wasm的rust SDK。

全部

1.18或更新版本

全部

使用Rust为网格代理开发Wasm插件

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

支持1.22 发布

支持Istio 1.22版本，包括以下重要更新：

• Native Sidecar Container的支持（ACK 1.30开始默认开启）

• 支持ACS集群

• 倚天ARM支持

• Gateway API支持更新至v1.1，新增GRPCRoute支持。

• 控制面默认使用Delta XDS与数据面通信，提升了配置推送效率。

• 授权策略支持通过模板匹配请求路径。

• 请求授权策略为获取jwksUri增加了超时时间配置

全部

1.22或更新版本

全部

N/A

新增ACMG模式

ACMG（Alibaba Centralized Mesh Gateway）模式是一种专为大规模网络架构设计的解决方案，旨在提升网络的可扩展性、灵活性和管理效率。

全部

1.22或更新版本

全部

ACMG模式

支持出口流量的安全保护

基于ASMEgressTrafficPolicy与出口网关实现保护从网格内部向外传输的流量安全

全部

1.20或更新版本

全部

• 出口流量管理综述

• 使用ASMEgressTrafficPolicy管理出口流量

多集群能力增强

东西向网关能力增强，经由东西向网关进行跨集群调用支持完整的7层负载均衡、授权策略，屏蔽CIDR冲突。针对不具备底层网络打通条件的多集群场景，使用ASM东西向网关将获得完全对齐底层网络打通的使用体验。

全部

1.22或更新版本

企业版、旗舰版

使用ASM跨集群网格代理实现多集群跨网络互通

arms使用新的集成中心（扩展metrics）

服务网格 ASM（Service Mesh）支持启用服务网格数据平面监控指标，可以使网关和Sidecar代理生成与其运行状态相关的指标数据，并将这些指标采集到阿里云可观测监控Prometheus版。

全部

1.17.2.35或更新版本

全部

ASM监控指标与大盘升级

最佳实践 - 支持集成自定义授权服务

支持对接HTTP协议和gRPC协议的自定义授权服务，以满足用户集成已有的或自定义实现的授权服务

全部

1.20或更新版本

全部

• 开发基于HTTP协议的自定义授权服务

• 开发基于gRPC协议的自定义授权服务

支持限流熔断的指标监控及告警

支持将本地限流、全局限流、服务级熔断、主机级熔断、连接池熔断等限流、熔断能力的相关监控指标采集至可观测监控Prometheus版，并支持基于监控指标配置限流熔断发生时的告警。

全部

全部

全部

• 在流量管理中心配置本地限流

• 使用ASMGlobalRateLimiter对应用服务入口流量配置全局限流

• 配置连接池实现熔断功能

• 使用ASMCircuitBreaker为服务间调用流量配置熔断规则

• 使用ASM构建分布式系统的容错能力

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

ASM网关支持HTTP3/QUIC协议

ASM网关支持HTTP/3协议。HTTP/3相比HTTP/2握手延迟更低，支持新的多路复用机制，支持连接迁移，并且更加安全。HTTP/3基于UDP协议，可以同时在一个端口开启TCP和UDP监听，并不影响现有的HTTP/2、HTTP/1监听。

全部

1.16或更新版本

全部

使用HTTP/3协议访问ASM入口网关

Sidecar配置支持最大下游连接数配置

支持根据业务需求，配置网格代理可接受的最大下游连接数限制。通过合理配置最大下游连接数限制，可以防止对网格代理的恶意攻击。

全部

1.21或更新版本

全部

配置Sidecar代理

支持配置路径规范化策略

支持配置网格代理对HTTP请求的路径规范化策略，这可以保证服务网格中HTTP请求的路径始终保持统一规范，减少安全性风险。

全部

1.21或更新版本

全部

配置服务网格路径规范化策略

ASM流量调度套件支持闭环反馈策略、并发度限制策略、并发调度策略、配额调度策略

ASM流量调度套件支持四种新的策略：

• 闭环反馈策略：可用于实现新服务渐进式上线

• 并发度限制策略：可用于严格限制服务收到的请求并发度。

• 并发度调度策略：可在严格限制请求并发度的前提下，对请求进行优先级调度处理。

• 配额调度策略：在控制请求速率满足配额要求的情况下，对请求进行优先级调度处理。

全部

1.21或更新版本

全部

使用ASM流量调度套件进行分布式系统流量控制

playground之一功能

ASM Playground可以一键搭建特定场景的整套环境，包括工作负载及全部声明式API（CR）资源。每个ASM Playground 都演示一个具体的场景，并自动部署所需的各种资源，允许您对场景进行一定程度的控制（具体控制程度视场景而定）。这样，您只需一键操作，即可快速搭建场景环境，迅速体验ASM的强大功能。

全部

1.21或更新版本

全部

ASM实验室

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

服务网格网络包探查

针对服务网格内的流量，网络包探查任务可以快捷地针对工作负载抓取流量信息，辅助进行复杂流量问题的快速诊断。

全部

1.21或更新版本

全部

使用网络包探测任务诊断网格内流量

ASM流量调度套件

ASM流量调度套件是基于服务网格的流量统一调度架构模式，以及基于该架构模式开发的多种流量调度策略的统称。可以实现多种高级流量调度场景，如分用户限流、请求优先级调度等。

全部

1.21或更新版本

全部

使用ASM流量调度套件进行分布式系统流量控制

新增EWMA负载均衡机制

EWMA负载均衡器通过计算静态权重、延迟、错误率等的移动平均值得出节点的分值进行负载均衡选择。在应用出现偶发的延迟上升、报错等场景下避开异常端点，提升全局表现。

全部

1.21或更新版本

全部

使用指数加权移动平均（EWMA）实现基于工作负载延迟的负载均衡

增强Knative集成功能

Knative on ASM发布1.12.4版本，同时优化了与容器服务Knative的集成体验，实现一键部署。

全部

1.21或更新版本

全部

使用ASM简化管理Serverless工作负载

完善Terraform支持

• 文档例子使用最新版本ASM。

• 新增修改ASM属性章节，描述如何通过Terraform修改ASM实例属性。

• 新增terraform apply时看到字段被删除的处理方法。

全部

1.21或更新版本

全部

使用Terraform管理ASM实例

功能

功能描述

发布地域

适用版本

适用产品规格

相关文档

发布Istio 1.21版本。

发布Istio 1.21正式版本，全域开放。兼容社区最新特性。包括：

• 在为ExternalName类型的Service编写虚拟服务和目标规则时，应该使用该Service实际指向的服务域名。

• 在虚拟服务中，支持在HTTPRouteDestination字段中设置 :authority Header。

• 在目标规则中，支持为http连接池配置maxConcurrentStreams，以及为TCP连接池设定idelTimeout。

• 支持通过Sidecar流量配置来控制Sidecar代理对于入站请求的连接池配置。

全部

1.21或更新版本

全部

版本机制

流量泳道

流量泳道3.0中支持baggage透传，支持按比例引流。

全部

1.21或更高版本

全部

• 通过配置ASMHeaderPropagation实现宽松模式的流量泳道

• 场景三：在链路中透传Baggage请求头

多集群能力增强

提供新的多集群网络解决方案，在底层网络无法打通场景下支持以ASM东西向网关通过公网打通集群网络。新增文档多集群管理概述，完整描述了ASM多集群管理的模式和路径。

全部

1.21或更高版本

全部

使用ASM跨集群网格代理实现多集群跨网络互通

网格拓扑支持子图展示

网格拓扑支持选择一个命名空间、以及一个命名空间中的应用，以直接查看该应用周边的子拓扑图，以优化大规模服务下的服务拓扑展示和使用体验。

全部

1.21或更高版本

全部

开启网格拓扑提高可观测性

ASMCompressor支持路由级别配置

ASMCompressor支持路由级别配置，可以实现默认开启并且在指定路由上关闭的场景，能够简化配置，降低错配风险。

全部

1.21或更新版本

全部

使用ASMCompressor定义应用服务间调用的压缩配置

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布Istio 1.21版本。

发布Istio 1.21版本（白名单灰度），兼容社区最新特性。包括：

• 在为ExternalName类型的Service编写虚拟服务和目标规则时，应该使用该Service实际指向的服务域名。

• 在虚拟服务中，支持在HTTPRouteDestination字段中设置 :authority Header。

• 在目标规则中，支持为http连接池配置maxConcurrentStreams，以及为TCP连接池设定idelTimeout。

• 支持通过Sidecar流量配置来控制Sidecar代理对于入站请求的连接池配置。

全部

1.21或更新版本

全部

版本机制

使用ACME协议为ASM网关自动签发证书

ACME（Automatic Certificate Management Environment）是一种用于自动化处理X.509数字证书签发请求的协议。通过ACME协议，CA可以自动验证证书申请者的域名所有权，然后为其签发证书。ASM网关支持通过ACME协议对接多种CA，动态获取域名证书，降低证书维护负担。

全部

全部

全部

使用ACME CA为ASM网关签发证书

eRDMA+SMC数据平面性能优化

在支持eRDMA的阿里云第八代云服务器上，Alinux 3环境下。支持启用基于SMC的服务网格数据平面通信性能优化。

全部

1.21或更新版本

全部

基于eRDMA加速服务网格Pod间的网络性能

通过PrivateLink实现跨VPC的控制面与数据面集群的连通管理

当ASM实例所在的VPC与数据面ACK集群的VPC不相同、且在同一个地域时，可以通过PrivateLink实现跨VPC的控制面与数据面集群的连通管理。ASM提供了一种使用CRD的方式，简化网络连通的能力。

全部

1.21或更新版本

全部

通过PrivateLink实现跨VPC的控制面与数据面集群的连通管理

使用动态子集路由加速模型服务网格推理

使用服务网格ASM的动态子集路由能力，将请求直接精准路由到正确的运行时环境，以加速模型服务网格的推理过程。

全部

1.21或更新版本

全部

使用动态子集路由加速模型服务网格推理

使用ASMCircuitBreaker为服务间调用流量配置熔断规则

使用ASMCircuitBreaker CRD为东西向调用流量配置熔断规则。

全部

1.19及以上

全部

使用ASMCircuitBreaker为服务间调用流量配置熔断规则

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

访问日志支持以纯文本（非JSON）的形式定义输出。

支持将访问日志以纯文本的形式输出至容器标准输出。纯文本形式相比JSON形式，信息密度更高、更节省空间。

全部

v1.20及以上

全部

可观测配置

支持配置维护时间窗口。

支持配置服务网格维护窗口，以指定托管控制面自动维护的时间节点。

全部

全部

全部

使用服务网格维护窗口

支持使用Go语言开发网格代理的Wasm扩展。

支持使用Go语言开发Wasm扩展，并插入网格代理的过滤器链中，能够更灵活地实现特定场景下的需求，例如按照特定规则动态添加或修改HTTP Header、调整路由目标指向、访问外部自定义授权服务等。

全部

v1.18及以上

全部

使用Go为网格代理编写Wasm插件

支持托管安全组。

新建ASM实例开始使用托管安全组，为ASM控制面提供更高级别的安全保护。

全部

v1.20及以上

全部

创建ASM实例

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布Istio 1.20版本。

发布Istio 1.20版本，兼容社区最新特性。

全部

v1.20及以上

全部

版本机制

ASM网关支持灰度升级。

为了更好地保证升级后业务的连续性，ASM网关支持灰度升级。您可以通过先启动一个新版本的网关Pod来验证流量，验证通过后再完全升级网关。验证过程中如果出现任何问题，您可以随时删除新版本的Pod，问题解决后再继续升级。

全部

v1.20及以上

全部

ASM网关灰度升级

支持通过mTLS采集网格内应用的监控指标。

对于一些关键业务，除了业务通信本身加密之外，加密采集监控指标也十分必要。ASM支持通过mTLS采集网格内应用的监控指标。

全部

全部

全部

通过mTLS采集网格内应用的监控指标

优化插件中心和Envoy过滤器。

• 插件中心扩展了支持的插件类型，HTTP/JSON-gRPC的转码功能由ASMGrpcJsonTranscoder提供。

• 插件中心支持创建多个插件实例，每个插件实例具备独立的插件配置和生效范围设定。

• Envoy过滤器模板支持绑定到指定的服务网格版本范围，而不再局限于单一服务网格版本。

全部

v1.18及以上

全部

• ASMGrpcJsonTranscoder CRD说明

• 使用插件市场扩展网格能力

• 使用Envoy过滤器模板创建Envoy过滤器

支持以声明式方式管理Envoy过滤器模板和流量泳道

• 支持通过CRD方式管理Envoy过滤器模板

• 支持通过CRD方式管理流量泳道

• 支持基于Argo CD使用GitOps的方式管理流量泳道

全部

v1.20及以上

全部

• EnvoyFilterTemplate和EnvoyFilterTemplateBinding CRD说明

• ASMSwimLaneGroup和ASMSwimLane CRD说明

• 基于Argo CD实现应用服务的全链路灰度

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

网格诊断功能支持智能化诊断。

集成AI助手实现智能化诊断。在生成诊断结果后，使用大模型解释诊断项的产生原因和解决方法。

全部

全部

全部

使用ASM网格诊断

增强网格拓扑功能。

网格拓扑提供更加强大的可观测性能和易用性改进。

• 网格拓扑可以计算并展示服务或工作负载上生效的熔断或限流配置（ASM需为企业版或旗舰版）。

• 在单集群模式下，开启托管模式的网格拓扑会自动填充相关参数，提升易用性。

• 网格拓扑服务的CLB支持按量付费规格，降低费用消耗。

全部

全部

全部

开启网格拓扑提高可观测性

支持自定义请求头和响应头。

支持使用VirtualService和EnvoyFilter这两种资源自定义请求头和响应头。

全部

全部

全部

• 自定义请求头和响应头概述

• 通过VirtualService资源自定义请求头和响应头

• 通过EnvoyFilter资源自定义请求头和响应头

场景化限流功能。

提供以下特定场景的限流功能使用最佳实践。

• 在ASM入口网关处，针对单个路由、网关域名与端口组合配置本地限流规则。

• 在ASM入口网关处，针对单个路由、网关域名与端口组合、包含特定请求头与查询参数、特定客户端IP地址的请求配置全局限流规则。

• 对应用服务特定端口、特定路径上的请求配置本地限流规则。

• 对应用服务特定端口、特定路径上的请求配置全局限流规则。

全部

v1.11.5及以上

企业版、旗舰版

• 为入口网关配置本地限流

• 为入口网关配置全局限流

• 在流量管理中心配置本地限流

• 使用ASMGlobalRateLimiter对应用服务入口流量配置全局限流

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布Istio 1.19版本和1.18补丁版本。

• 发布Istio 1.19版本，兼容社区最新特性，合并处理上游社区对CVE的修复逻辑。

• 发布1.18补丁版本，支持Istio 1.18.6版本，合并处理上游社区对CVE的修复逻辑。

全部

全部

全部

无

新建ASM集群所需的CLB切换为按使用量计费方式。

在新建ASM集群（ASM实例）时，默认将为API Server和Istio控制面访问创建一个按使用量计费的私网CLB实例。

全部

全部

全部

• 创建ASM实例

• CLB按量付费说明

支持使用CEL语言设置日志过滤规则。

支持使用CEL（Common Expression Language）语言设置日志过滤规则，在访问量较大的业务场景中，按照特定条件过滤日志，可以节约Sidecar代理的资源开销，并专注于关键日志内容。

全部

v1.18及以上

全部

通过CEL编写访问日志过滤规则

简化本地限流功能的管理。

增强本地限流功能，以满足用户常见的限流场景需求，同时提供图形化界面，简化配置流程并降低操作错误，从而提高整体易用性。

全部

v1.18及以上

全部

• 限流防护概述

• 为入口网关配置本地限流

• 在流量管理中心配置本地限流

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

支持模型服务网格。

通过网格来管理和路由模型服务，提供流量分割、A/B测试、灰度发布等功能，以便更好地控制和管理模型服务的流量，轻松实现不同模型版本的切换和回滚。

支持动态路由，可以根据请求的属性，例如模型类型、数据格式或其他元数据，将请求路由到适当的模型服务。

通过使用模型服务网格，开发人员可以更轻松地部署、管理和扩展机器学习模型，并确保其高可用性、弹性和灵活性，以满足各种业务需求。

全部

v1.18及以上

全部

• 模型服务网格概述

• 使用模型服务网格进行多模型推理服务

• 使用模型服务网格自定义模型运行时

• 将大语言模型转化为推理服务

支持以Serverless的形式独立部署ASM网关。

提供基于虚拟节点和ECI的Serverless网关形态，以Serverless的形式独立部署，用于支撑各种弹性和免节点运维的场景。

全部

v1.18及以上

全部

使用ASM Serverless网关提升高可用性和弹性

托管网格拓扑服务支持负载均衡CLB挂载。

托管模式的网格拓扑支持通过负载均衡CLB，直接访问网格内部署的应用，简化网格拓扑的访问配置。

全部

v1.18及以上

全部

开启托管模式的网格拓扑

支持KServe 0.11版本。

支持集成KServe 0.11版本，简化用户管理模型服务工作负载。支持通过InferenceService部署Transformer服务，在集成时可以按需选择KServe版本。

全部

v1.18及以上

全部

使用InferenceService部署Transformer服务

支持对接OpenTelemetry Collector。

ASM将可观测链路追踪导出方式切换至OpenTelemetry（已经通过Zipkin接入的用户仍然可以继续使用旧的方式），便捷地接入阿里云ARMS链路追踪或是自建的链路追踪服务。

全部

v1.18及以上

全部

• 配置上报ASM链路追踪数据

• 向自建系统导出ASM链路追踪数据

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布ASMCompressor，支持以CRD方式定义应用服务间调用的压缩配置。

提供以CRD方式定义应用服务间调用的压缩配置的功能，支持使用一致的方式为应用程序添加压缩过滤器，支持Gzip和Brotli算法的压缩配置。

全部

v1.18及以上

全部

• 使用ASMCompressor定义应用服务间调用的压缩配置

• ASMCompressor CRD说明

发布ASMGrpcJsonTranscoder，支持以CRD方式定义应用服务间调用时的JSON/HTTP与gRPC转换的配置。

提供以CRD方式定义应用服务间调用时的JSON/HTTP与gRPC转换的配置功能，支持使用一致的方式为应用程序添加转码过滤器，支持JSON/HTTP到gRPC的转换配置。

全部

v1.18及以上

全部

• 基于ASMGrpcJsonTranscoder实现以HTTP/JSON方式请求网格内gRPC服务

• ASMGrpcJsonTranscoder CRD说明

支持ASM数据平面Wasm Plugin自定义扩展。

支持为ASM网格代理或ASM网关配置自定义Wasm Plugin，增强ASM数据平面扩展性。Wasm Plugin支持多种语言编写（C++、Golang等），支持多种形态加载（HTTP、OCI Image Hub和ConfigMap）。

全部

v1.18及以上

全部

使用Coraza Wasm插件在ASM网关上实现WAF能力

发布ASMGlobalRateLimiter，支持对网关和应用服务启用全局限流能力。

提供以CRD的方式定义网关和应用服务的全局限流能力。

全部

v1.18及以上

全部

• 使用ASMGlobalRateLimiter对应用服务入口流量配置全局限流

• ASMGlobalRateLimiter CRD说明

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布动态Subset LB负载均衡功能。

提供一种动态Subset LB负载均衡功能，实现动态根据请求信息等metadata来灵活选择目标服务子集的功能。

全部

v1.18及以上

企业版、旗舰版

动态子集路由

发布流量泳道2.0，支持严格和宽松两种模式。

支持严格和宽松两种模式。在宽松模式中基于基线泳道的Fallback回退机制，支持简化全链路请求头已透传场景的处理。

全部

v1.18及以上

企业版、旗舰版

• 流量泳道概述

• 使用严格模式流量泳道实现全链路流量管理

• 使用宽松模式流量泳道实现全链路流量管理

发布网格拓扑2.0，支持以托管模式开启网格拓扑。

相比于数据面Kubernetes集群内部署模式启用的网格拓扑，托管模式网格拓扑在多集群统一观测、配置复杂性、服务可靠性方面具有更大优势。

全部

v1.18及以上

企业版、旗舰版

开启托管模式的网格拓扑

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

支持一种新型的数据平面模式。

提供一种新型的数据平面模式，兼容社区Istio Ambient Mesh。您可以根据所需功能的范围，以渐进增量的方式采用服务网格技术，包括L4和L7的新路由、授权机制功能等。

全部

v1.18及以上

企业版、旗舰版

• Ambient模式

• L7路由

• L4认证与鉴权

• L7认证与鉴权

发布Istio 1.18版本。

发布Istio 1.18版本，兼容社区最新特性。

全部

v1.18及以上

全部

无

默认在创建ASM时使用网格CNI模式。

默认在创建ASM时使用网格CNI模式，适配ACK on ECI、ACK Serverless等环境下对CNI DaemonSet的兼容处理。

全部

v1.18及以上

全部

启用CNI插件提升安全性

支持Knative 1.8。

支持在ASM 1.18版本中使用Knative on ASM部署Serverless工作负载时，默认使用1.8版本的Knative。

全部

v1.18及以上

全部

使用ASM简化管理Serverless工作负载

ASM网关支持网络型负载均衡NLB。

支持创建时使用网络型负载均衡NLB，利用NLB提供的超高性能和自动弹性能力，进一步提升流量稳定性。

全部

v1.18及以上

全部

在ASM入口网关中使用网络型负载均衡NLB

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

新增控制面金丝雀升级。

支持基于修订与标签的升级模式，以更安全稳定的方式执行新版本控制面的金丝雀升级。

全部

v1.16及以上

企业版、旗舰版

使用金丝雀模式增强升级稳定性

简化全局命名空间的标签同步管理。

为全局命名空间加入所属Kubernetes集群的支持，可以选择性地向不同集群同步不同的命名空间标签。

ASM控制台提供命名空间标签istio.io/rev，以简化在金丝雀升级过程中不同版本代理的注入。

全部

v1.16及以上

全部

管理全局命名空间

新增为网格资源操作配置审计告警。

开启网格审计功能后，通过配置SLS的告警，可以为网格资源的变更行为添加审计告警能力，在重要资源变动时及时发出告警通知到告警联系人。

全部

v1.15及以上

全部

为网格资源操作配置审计告警

自适应配置推送优化对出口网关的配置。

自适应配置推送优化功能开启后，集群会部署名为istio-axds-egressgateway的出口网关，并为此出口网关添加修改配置的功能。

全部

v1.15及以上

全部

使用自适应配置推送优化提升控制平面推送效率

支持集成外置OPA执行引擎。

与Sidecar模式相比，外置OPA可以实现更低的资源占用、应用无需重启即可接入、自由决定到达应用的哪些请求执行OPA策略等。

全部

v1.15及以上

全部

使用ASM安全策略接入外部OPA执行引擎

新增网关日志仪表盘。

新增网关级别的日志页面。您可以单独查看某个特定网关的原始日志和日志仪表盘。

全部

v1.17及以上

全部

• 生成和采集ASM网关访问日志

• 生成和采集ASM网关监控指标

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

新增可观测性管理中心2.0。

提供日志、监控指标和链路追踪一体化可观测规则设置功能。

全部

v1.17.2.35及以上

全部

• 可观测配置

• 启用控制平面日志采集和日志告警（新版）

• 将监控指标采集到可观测监控Prometheus版

• 配置上报ASM链路追踪数据

支持动态配置开启或关闭合并Istio与应用的监控指标功能。

已有Prometheus监控端点的应用服务，通过启用合并Istio与应用的监控指标功能，可以借助网格代理输出原有业务指标。

全部

v1.17及以上

全部

合并Istio与应用的监控指标

服务发现范围配置支持命名空间的黑名单模式。

该功能不仅支持白名单模式，还支持ASM控制平面只发现和处理指定不在黑名单列表中的命名空间下的应用，以此提升控制平面推送到数据平面Sidecar代理的效率。

全部

v1.17及以上

企业版、旗舰版

配置服务发现范围提升网格配置的推送效率

流量管理新增回退机制。

当服务调用执行未成功时，回退机制提供替代的另外执行路径。ASM支持在VirtualService中定义fallback参数以支持请求服务失败时的回退机制。

全部

v1.17及以上

企业版、旗舰版

使用ASM回退机制

网格拓扑支持通过RAM账号登录、自定义访问方式。

支持阿里云RAM账户默认登录网格拓扑UI控制台，支持配置访问网格拓扑所使用的域名、端口、根路径和协议。

全部

v1.17及以上

全部

开启网格拓扑提高可观测性

ASM证书管理支持在SLS中进行异常告警。

支持在控制面告警中配置证书管理处的告警，支持已过期、即将过期两种告警类型。

全部

v1.17及以上

全部

使用ASM证书管理

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布Istio 1.17版本。

发布Istio 1.17版本，兼容社区最新特性。

全部

v1.17及以上

全部

无

KServe on ASM支持模型服务MLOps管理。

支持集成KServe，便于您管理模型服务工作负载。

全部

v1.17及以上

企业版、旗舰版

ASM集成KServe实现云原生AI模型推理服务

ASM网关支持Serverless形态。

ASM Serverless网关是基于虚拟节点和ECI提供的一种Serverless网关形态，用于支撑各种弹性和免节点运维的场景。

全部

v1.16及以上

企业版、旗舰版

使用ASM Serverless网关支撑弹性业务场景

新增全局证书管理。

ASM支持全局证书管理：

• 网关规则中可直接引用证书管理中注册的证书。

• 支持TLS以及mTLS类型的证书。

• 支持证书到期告警。

全部

v1.17及以上

全部

通过ASM网关启用HTTPS安全服务

网格拓扑支持可视化展示Istio资源。

网格拓扑页面显示选项新增“虚拟服务徽标”，便于您在网格拓扑中查看是否配置了虚拟服务资源。

全部

v1.15及以上

企业版、旗舰版

开启网格拓扑提高可观测性

网格诊断支持在运行时排除指定的命名空间。

在运行网格诊断时，可以选择排除的命名空间。在被排除的命名空间内将不会产生诊断结果。

全部

v1.17及以上

全部

使用ASM网格诊断

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布Istio 1.16版本。

兼容社区Istio 1.16系列版本。

全部

v1.16及以上

全部

无

增强Sidecar注入管理。

简化注入策略配置管理、Sidecar注入器配置管理。

全部

v1.16及以上

全部

多种方式灵活开启自动注入

支持gRPC-JSON转码器插件。

支持使用RESTful API或者其他HTTP/JSON工具访问gRPC服务，简化与gRPC服务的集成和使用。

全部

v1.16及以上

企业版、旗舰版

基于ASMGrpcJsonTranscoder实现以HTTP/JSON方式请求网格内gRPC服务

网格拓扑支持使用RAM方式登录。

支持使用阿里云RAM方式登录，实现网格拓扑UI界面的SSO单点登录。

全部

v1.16及以上

企业版、旗舰版

使用阿里云账号登录ASM网格拓扑

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

网关支持对接WAF。

• 支持对接WAF，为服务提供攻击防护。

• 支持通过自定义访问日志格式查看WAF对回源请求添加的Header，便于线上运维。

全部

全部

企业版、旗舰版

使用ASM网关对接WAF

支持配置Ingress资源。

支持在数据面集群使用Ingress资源指定ASM网关的流量规则。

全部

v1.16及以上

企业版、旗舰版

使用ASM网关作为Ingress Controller暴露集群内的服务

支持管理Knative服务。

集成ACK、ACK Serverless集群的Knative的Serving能力，便于您管理Serverless工作负载。

全部

v1.16及以上

企业版、旗舰版

使用ASM简化管理Serverless工作负载

网格拓扑支持OIDC方式登录。

集成OIDC协议和身份提供商IdP，支持通过ASM控制台配置网格拓扑的SSO单点登录。

全部

v1.15.3.120及以上

企业版、旗舰版

开启网格拓扑提高可观测性

Sidecar代理支持超卖模式。

在动态资源超卖下，支持为Proxy Pod设置资源类型。

全部

v1.16及以上

企业版、旗舰版

在Sidecar中配置ACK动态超卖资源

新增出口流量策略ASMEgressTrafficPolicy。

ASMEgressTrafficPolicy定义了如何通过出口网关管理和访问外部流量。通过结合Sidecar资源和AuthorizationPolicy资源，可以更全面地控制出口流量访问。

全部

v1.16及以上

企业版、旗舰版

• ASMEgressTrafficPolicy CRD说明

• 使用ASMEgressTrafficPolicy管理出口流量

支持配置全局默认的HTTP请求重试策略。

支持配置全局默认的HTTP请求重试策略，包括重试次数、重试超时时间和重试的条件。

全部

v1.15及以上

全部

无

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

发布Istio 1.15.3.105版本。

兼容社区Istio 1.15系列版本，支持Kubernetes 1.21至1.25版本。

全部

v1.15.3.105

全部

无

增强网格可观测能力。

• 全面支持通过Telemetry CRD方式定义及管理日志、监控、链路追踪。

• 优化监控指标配置和网格拓扑依赖的最小指标集定义。

• 支持网格全局和命名空间级别的细粒度配置。

全部

全部

全部

在ASM中自定义监控指标

优化网格拓扑性能。

• 在150 Pod规模以上的集群中，显著提高ASM网格拓扑的拓扑图的加载速度。

• 网格拓扑支持工作负载健康探测可选配置，关闭此能力可提高拓扑图的加载速度。

全部

v1.14及以上

全部

开启网格拓扑提高可观测性

增强多集群流量管理。

支持在多集群内配置集群内流量保持功能。对于多集群内的同一服务，在开启此功能后可以保证流量只流向本集群内的工作负载。

全部

v1.15.3.101及以上

全部

多集群场景下启用ASM本地集群内流量保持功能

增强Sidecar代理配置。

• 全局Sidecar代理配置新增istio-proxy线程数、监控统计等配置项，与命名空间、工作负载级别的配置对齐。

• 支持配置Sidecar代理的环境变量。

全部

v1.15.3.101及以上

全部

配置Sidecar代理

支持ASM网关的定制化配置，增强可观测能力。

• 增强多集群模式下的网关配置管理。

• 支持更灵活的指标定制化配置。

• 新增网关状态监控大盘，实时监控网关Pod的关键指标。

全部

全部

企业版、旗舰版

为多个集群配置统一的入口网关

功能

功能描述

发布地域

适用Istio版本

适用产品规格

相关文档

网格拓扑支持查询任意时间范围。

网格拓扑支持查询90天内任意时间范围的拓扑图，便于您查询历史拓扑。

全部

v1.14及以上

全部

开启网格拓扑提高可观测性

增强数据面Sidecar代理配置参数。

新增Sidecar代理环境变量配置选项。您可以设置在Sidecar代理启动前加载bootstrap配置。

全部

v1.15.3.63及以上

全部

配置Sidecar代理

增强网关安全能力。

网关支持一站式配置OIDC单点登录和JWT认证。

全部

v1.15.3.25及以上

企业版、旗舰版

• 在ASM网关中配置OIDC单点登录

• 在ASM网关中配置JWT认证