Apache APISIX 3.5.0 正式发布

Apache APISIX 3.5.0 现已正式发布，此版本带来了一些新功能和改进的用户体验。包括在主机级别动态配置 TLS 版本、与 Chaitin WAF 的集成、强制删除资源、在独立模式下部署 APISIX 时在配置文件中使用环境变量等。此外，还包含了一些重要的变化。

重大变更

1. 在 request-id 插件中移除雪花算法支持

移除 request-id 插件中的雪花算法支持。该算法引入了对 etcd 的不必要依赖，当 etcd 不可用时，可能会显著影响 APISIX 的性能。请考虑在算法中使用 uuid 选项。

有关更多背景信息，参阅邮件列表中的提案 。

相关 PR 见 #9715。

2. 删除对 OpenResty 1.19 的支持

如果你当前正在使用此版本，建议计划升级到 OpenResty 版本 1.21 及更高版本。

相关 PR 见 #9913。

3. 改善 L4 和 L7 代理的可用性并删除 apisix.stream_proxy.only

提高 L4 和 L7 代理的可用性。 此更改删除了 apisix.stream_proxy.only 选项，并简化了启用和禁用 L4 和 L7 代理的用法。

L4 和 L7 代理可在 config.yaml 文件中如下所示启用：

• 启用 L7 代理（默认启用）：apisix.proxy_mode: http

• 启用 L4 代理：apisix.proxy_mode:stream

• 启用 L7 和 L4 代理：apisix.proxy_mode: http&stream

有关更改后如何使用 stream 代理的更多信息，参阅如何启用 stream 代理。

相关 PR 见 #9607。

4. 在 ua-restriction 插件中不允许同时使用 allowlist 和 denylist

在 ua-restriction 插件中，不再允许同时使用 allowlist 和 denylist。您应该只配置其中之一的选项。

相关 PR 见 #9841。

5. 重构并改进 Admin API 中的插件接口 

通过 /apisix/admin/plugins?all=true 获取所有插件属性的接口即将被弃用。 未来 Admin API 将仅支持一次获取一个插件的属性。建议你使用以下端点和参数来满足你的要求：

/apisix/admin/plugins/{plugin_name}?subsystem={subsystem}

或者，你可以使用 /v1/schema 获取并解析 Control API 中所有插件的架构。

如果你只想获取插件名称列表，可以使用以下命令：

/apisix/admin/plugins/list?subsystem={subsystem}

有关更多详细信息，请参阅管理 API 中的插件。

相关 PR 见 #9580。

新功能

1. 支持主机级别动态配置TLS版本

支持运行时为各个 SNI 配置 TLS 版本。该配置优先于 config-default.yaml 或 config.yaml 中的 ssl_protocols 静态配置，并且不需要重新加载 APISIX，从而提供了一种更细粒度的方法来与你的基础设施集成。

例如，你可以使用以下命令将域 test.com 配置为接受 TLS 版本 1.2 和 1.3 的 TLS 连接：

curl http://127.0.0.1:9180/apisix/admin/ssls/1 -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
    "cert": "$cert",
    "key": "$key",
    "snis": ["test.com"],
    "ssl_protocols": [
        "TLSv1.2",
        "TLSv1.3"
    ]
  }'

有关该功能和示例的更多信息，参阅 SSL 协议。

相关 PR 见 #9903。

2. 支持强制删除资源

支持使用 Admin API 强制删除资源。 默认情况下，管理 API 检查资源之间的引用，并且不允许删除正在使用的资源。

借助此新功能，你可以通过发送带有 URL 参数 force=true 的 DELETE 请求来强制删除，如下所示：

curl "http://127.0.0.1:9180/apisix/admin/upstreams/1?force=true" -X DELETE \
  -H "X-API-KEY: ${ADMIN_API_KEY}"

有关该功能和示例的更多信息，可参阅强制删除。

相关 PR 见 #9810。

3. 支持 apisix.yaml 中的环境变量 支持在 apisix.yaml 中使用环境变量。

例如，你可以将上游服务的主机 IP 和端口设置为环境变量，并使用 apisix.yaml 中的变量，如下所示：

routes:
  -
    uri: "/test"
    upstream:
      nodes:
        "${{HOST_IP}}:${{PORT}}": 1
      type: roundrobin
#END

有关该功能和示例的更多信息，参阅管理 API 中的使用环境变量。

相关 PR 见 #9855。

4. 在 Admin API 中添加架构验证端点

将 /apisix/admin/schema/validate/{resource} 端点添加到 Admin API 以验证配置的架构。你现在可以验证配置的正确性，而无需向端点发送资源创建请求。

例如，你可以使用以下命令验证路由的架构：

curl http://127.0.0.1:9180/apisix/admin/schema/validate/routes -i -X POST \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
    "uri": 1980,
    "upstream": {
        "scheme": "https",
        "type": "roundrobin",
        "nodes": {
          "nghttp2.org": 1
        }
     }
  }'

由于此架构不正确，你应该会看到类似于以下内容的响应：

HTTP/1.1 400 Bad Request
...
{"error_msg":"property \"uri\" validation failed: wrong type: expected string, got number"}

有关该功能和示例的更多信息，参阅 Admin API 中的架构验证。

相关 PR 见 #10065。

5. 通过 chaitin-waf 插件支持与 Chaitin WAF 集成

通过 chaitin-waf 插件支持与长亭 WAF 集成，将网关流量转发到长亭 WAF 进行恶意流量的检查和检测。

例如，你可以在插件元数据上配置长亭 WAF 的地址，所有 chaitin-waf 插件实例都会引用该地址。 配置 host 为长亭 SafeLine WAF 检测服务主机、unix 域套接字、IP 或域； 以及 port，如下所示：

curl http://127.0.0.1:9180/apisix/admin/plugin_metadata/chaitin-waf -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
  "nodes":[
      {
        "host": "unix:/path/to/safeline/resources/detector/snserver.sock",
        "port": 8000
      }
    ]
  }'

然后，你可以在路由上启用该插件，并仅将符合指定条件的流量转发到 WAF：

curl http://127.0.0.1:9180/apisix/admin/routes/1 -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
   "uri": "/*",
   "plugins": {
       "chaitin-waf": {
           "match": [
                {
                  "vars": [
                    ["http_waf","==","true"]
                  ]
                }
            ]
        }
    },
   "upstream": {
       "type": "roundrobin",
       "nodes": {
          "httpbun.org:80": 1
        }
     }
  }'

如果检测到潜在的恶意请求，例如以下请求，它会尝试注入攻击：

curl -i "http://127.0.0.1:9080/getid=1%20AND%201=1" \
  -H "Host: httpbun.org" \
  -H "waf: true"

应该看到类似于以下内容的响应：

HTTP/1.1 403 Forbidden
...
X-APISIX-CHAITIN-WAF: yes
X-APISIX-CHAITIN-WAF-TIME: 2
X-APISIX-CHAITIN-WAF-ACTION: reject
X-APISIX-CHAITIN-WAF-STATUS: 403
...
{"code": 403, "success":false, "message": "blocked by Chaitin SafeLine Web Application Firewall", "event_id": "51a268653f2c4189bfa3ec66afbcb26d"}

有关该功能和示例的更多信息，可参阅 chaitin-waf 插件文档。

相关 PR 见 #9838。

其他更新

• 支持在 openid-connect 插件中配置代理服务器（PR #9948）
• 支持将响应标头从 OPA 服务器发送到 opa 插件中的上游服务 (PR #9710)
• 支持在 file-logger 插件中使用变量以允许条件日志记录（PR #9712）
• 支持 mocking 插件中响应头的配置（PR #9720）

详情可参见 CHANGELOG。