Journal des changements

Publié le 23 juin 2026

• +Déplace la policy de compression globale/vhost héritée dans le proxy HTTP/1 natif et le proxy de route
• +Fusionne l'héritage des policies de headers root/vhost/route dans la construction native du proxy de route
• +Déplace la propriété sûre de forwarded-client-IP, l'ajout trusted-chain, les rewrites regex, ACLs, concurrence et rate limits vers le chemin natif
• +Ajoute native ACME HTTP-01 challenge serving, traffic mirroring, auth-request, and route-scoped gRPC validation

Publié le 21 juin 2026

• +Déplace route-level native response compression onto the HTTP/1 route proxy through fluxheim-compression
• +Déplace proxy.error_pages onto native HTTP/1 proxy pages de fallback appuyées par fluxheim-web

Publié le 21 juin 2026

• +Ajoute native HTTP/1 route static-web serving backed by fluxheim-web
• +Ajoute route request-header mutation, response rewrites, static upstream round-robin, and static upstream weights to the native route proxy

Publié le 21 juin 2026

• +Ajoute native route redirect actions with safe {uri}, {path}, and {query} expansion
• +Déplace route body limits and response-header overlays onto native HTTP/1 route proxy responses

Publié le 21 juin 2026

• +Ajoute native HTTP/1 route-proxy execution for exact, prefix, and fallback routes with method filters and safe rewrite handling
• +Ajoute native-http1-proxy-candidate lignes aux preuves de bascule runtime afin que les bloqueurs de compatibilité restants soient explicites

Publié le 20 juin 2026

• +Promeut la preview de sécurité downstream HTTP/2 native au statut prêt pour le cutover après des tests de parité ciblés
• +Rend le rapport représentatif de bascule runtime native sans bloqueur pour les configurations simples HTTP/1, HTTP/2, admin, métriques, stream et UDP

Publié le 20 juin 2026

• +Cuts stream and UDP proxy service startup over to Fluxheim-owned native task boundaries
• +Ajoute cancellation-safe native shutdown waiting and abort-on-cancel background task joins

Publié le 20 juin 2026

• +Starts native admin and metrics serving behind Fluxheim-owned server primitives
• +Durcit les handles background natifs afin que les handles critiques abandonnés abortent au lieu de détacher silencieusement des tâches

Publié le 20 juin 2026

• +Ajoute NativeBackgroundSupervisor pour l'orchestration de tâches background possédée par Fluxheim
• +Ajoute critical task watchdog support and hardens shutdown delivery edge cases

Publié le 20 juin 2026

• +Ajoute native runtime cutover evidence gates and fluxheim-config-tester --runtime-cutover
• +Déplace remaining Pingora exception targets to a documented multi-release exit plan while keeping policy gates active

Publié le 19 juin 2026

• +Ajoute un pingora-compat feature gating explicite pour la frontière runtime de compatibilité restante
• +Déplace rustls/OpenSSL downstream TLS SNI, certificate storage, reload, PEM parsing, and native HTTP/1 TLS listener previews into Fluxheim-owned code

Publié le 19 juin 2026

• +Poursuit la tranche de sortie de Pingora en réduisant la surface de compatibilité racine restante pour les chemins proxy, cache et runtime
• +Sépare les health checks natifs en modules auxiliaires HTTP/gRPC, base de données, exec et transport TCP/TLS avec des bornes de probe plus strictes

Publié le 19 juin 2026

• +Supprime la dépendance directe à Pingora de fluxheim-load-balancer
• +Ajoute des health checks actifs HTTP/1.1 bornés et h2 gRPC appartenant à Fluxheim, avec couverture policy pour empêcher la réintroduction de Pingora

Publié le 19 juin 2026

• +Ajoute la planification de readiness de bascule proxy HTTP/1.1 native sur ServerPlan
• +Échoue fermé pour les fonctionnalités proxy de compatibilité uniquement comme les sous-requêtes d'authentification, le mirroring, les redirections, les transformations strip/rewrite et les policies load-balancer avancées

Publié le 18 juin 2026

• +Ajoute une primitive client upstream HTTP/2 native appartenant à Fluxheim, avec headers, bodies, trailers et deadlines bornés
• +Ajoute des tests client/serveur h2 pour la conservation des trailers, les réponses surdimensionnées, les resets de stream et le comportement de timeout du flow-control

Publié le 18 juin 2026

• +Ajoute le support TLS et mTLS upstream natif rustls/OpenSSL au chemin proxy HTTP/1.1 staged
• +Ajoute un failover upstream statique ordonné pour les méthodes sûres, ainsi que des lectures bornées de matériel TLS no-follow et une couverture de policy hostname

Publié le 18 juin 2026

• +Ajoute un pooling de connexions upstream HTTP/1.1 natif borné pour les réponses d'origine sûres avec content-length ou sans corps
• +Ajoute le dimensionnement du pool keepalive, la gestion du timeout idle upstream, des gardes no-reuse conservatrices et de vrais tests de réutilisation/expiration de sockets

Publié le 18 juin 2026

• +Ajoute des primitives de connexion HTTP/2 natives réutilisables avec collecte bornée du corps de requête et support des trailers de réponse
• +Renforce la durée de vie des réponses HTTP/2, le timeout de handler, la gestion de capacité DATA, les headers/trailers interdits et la zeroization du corps de requête

Publié le 17 juin 2026

• +Ajoute le gate de preview du runtime HTTP/2 natif et le probe de stack h2 avec headers, URI, corps, streams, frames, buffers et policy rapid reset bornés
• +Ajoute la couverture smoke de preview HTTP/2 et étend la couverture du comportement HTTP/1 natif pour la sémantique keep-alive/close HTTP/1.0

Publié le 17 juin 2026

• +Ajoute le client upstream HTTP/1 natif borné et le handler proxy natif staged pour les upstreams statiques simples
• +Ajoute l'inventaire des candidats proxy natifs, les headers proxy appartenant à Fluxheim, le comportement privacy mode et l'éligibilité fail-closed pour les couches de policy non prises en charge

Publié le 17 juin 2026

• +Ajoute le runtime natif de connexion/listener HTTP/1 sur Tokio IO et l'adaptateur natif staged pour fichiers statiques
• +Mappe les limites serveur dans la policy HTTP/1 native et ajoute des tests socket pour keep-alive, framing du corps, shutdown, fichiers statiques, clients lents et plafonds de connexions

Publié le 17 juin 2026

• +Ajoute le parsing request-head HTTP/1.0/HTTP/1.1 appartenant à Fluxheim, la classification du framing de corps, la validation Host, la gestion de persistance et le décodage chunked
• +Ajoute des defaults de policy HTTP/1 downstream et des frontières de parser natif renforcées pour les futurs travaux de bascule runtime

Publié le 16 juin 2026

• +Déplace server bootstrap planning, listener inventory, service intent, background-task intent, HTTP/2 policy, PROXY protocol policy, and private Unix socket planning into fluxheim-server
• +Conserve le runtime actuel comme adaptateur de compatibilité explicite pendant que le travail serveur/listener natif continue

Publié le 16 juin 2026

• +Ajoute fluxheim-tls comme frontière de planification du listener TLS downstream et de policy provider
• +Déplace TLS listener plans, SNI selection, wildcard matching, ALPN/cipher/curve policy, and rustls/OpenSSL provider checks into the TLS crate
• +Renforce les feature gates TLS, le comportement de fallback SNI, la validation de signature PROXY v2 et la validation CIDR des PROXY de confiance

Publié le 16 juin 2026

• +Ajoute le premier dédié fluxheim-headers frontière pour les helpers de policy de headers
• +Déplace les algorithmes de rewrite, la gestion des forwarded headers, la policy de requête hop-by-hop et la jonction des headers répétés dans le code de headers appartenant à Fluxheim
• +Déplace les parsers d'octets du protocole PROXY stream dans fluxheim-protocol and tightens privacy/proxy CIDR validation

Publié le 15 juin 2026

• +Déplace les primitives partagées de cycle de vie des tâches d'arrière-plan dans fluxheim-runtime
• +Déplace OTLP metrics export, ACME certificate reload control, admin snapshot validation state, and rollback decisions into Fluxheim-owned runtime/snapshot code
• +Renforce le socket local de contrôle du rechargement de certificat et le filtrage des backends privés

Publié le 15 juin 2026

• +Ajoute fluxheim-stream as the internal TCP stream proxy runtime boundary
• +Déplace la sélection upstream stream, le parsing/écriture du protocole PROXY, la policy source, les protections DNS-rebinding, le comptage d'octets et la gestion des timeouts derrière le code stream appartenant à Fluxheim

Publié le 14 juin 2026

• +Déplace cache key identity, object envelopes, disk index management, storage-bin helpers, tag handling, and cache storage interfaces into fluxheim-cache
• +Ajoute des tests et des release gates qui imposent les objectifs de suppression des dependances Pingora pendant les executions normales de cargo test

Publié le 14 juin 2026

• +Démarre la première version d'implémentation concrète 1.6.x après le tag de fondation
• +Supprime pingora-load-balancing/pingora-ketama from Complet and load-balancer image profiles, restores 1.6 load-balancer image builds, and moves TCP health checks plus request-key extraction behind Fluxheim-owned boundaries

Publié le 14 juin 2026

• +A demarre la ligne de fondation de sortie de Pingora 1.6.x tout en conservant le comportement runtime inchange
• +A ajouté la validation de policy de modularité, les exceptions legacy pour fichiers surdimensionnés, la capture de baseline runtime et la capture de preuves de performance
• +A ajouté les exceptions de dépendances Pingora gated par release, les fixtures de parité runtime et le graphe de dépendances d'extraction
• +Ajout initial fluxheim-runtime and fluxheim-server crates de frontière plus primitives typées de preuve de policy

Juin 2026

• +Introduced the enterprise HTTP/TCP load-balancer line with focused binaries, images, runtime member and weight controls, persistence, health checks, queueing, and migration docs
• +Expanded Fluxheim-owned runtime boundaries across HTTP, stream proxying, load balancing, background tasks, cache interfaces, observability, config, and shared crates
• +A ajouté les cookies d'affinité gérés, la découverte de services, les health checks actifs et protocol-aware, l'état persistant après redémarrage et les contrôles de mutation backend runtime
• +Added UDP beta guardrails, cache origin-protection budgets, ARM/Linux and macOS developer assets, config tester archives, and broad proxy/cache/PHP-FPM security hardening

Publié le 25 mai 2026

• +Production proxy parity release with trusted-proxy-aware ACLs, local rate limits, concurrency limits, bounded queues, and edge policy metrics
• +gzip, Zstandard, and Brotli response compression with vhost/route overrides and cache-safe Vary handling
• +Résilience load-balancer, parité TLS/protocole, protocole PROXY v1/v2, mTLS upstream, contrôles HTTP/2 et pass-through gRPC

Publié le 23 mai 2026

• +Managed php-fpm process supervision under the existing php-fpm feature, while external php-fpm remains the default
• +Watchdog de respawn, backoff borné, teardown SIGTERM avant SIGKILL, environnement assaini et état de pool généré privé
• +Auditable [vhosts.php.fpm] mode = "managed" surface de configuration pour sockets privés, nombres de workers, modes de process manager, slowlog, chemins temporaires et fichiers de pool
• +A étendu la couverture smoke WordPress PHP-FPM aux modes external, managed-static, managed-dynamic, managed-ondemand et managed-respawn
• +Recommended Wolfi PHP image now installs php-8.5-fpm and uses managed php-fpm container config by default

Publié le 23 mai 2026

• +FIPS/ISO-required configs fail closed for unsupported internal cryptography, managed ACME, and local cache encryption
• +Provider-backed admin auth, numeric-local-loopback OTLP exception, and OpenBao Transit cache encryption evidence boundary
• +New compliance evidence template and release evidence package sections for regulated reviews

Publié le 22 mai 2026

• +backend candidat rustls/AWS-LC compatible FIPS via tls-rustls-fips
• +Alias de profils rustls FIPS et ISO/IEC 19790, exemples de configuration, diagnostics et script de validation

Publié le 21 mai 2026

• +Validation TLS OpenSSL compatible FIPS/ISO via tls-openssl-fips et diagnostics provider
• +Guide de déploiement FIPS, fixtures de configuration, script de validation, preuves de release et baseline OWASP Top 10 2025

Publié le 20 mai 2026

• +Pooling keepalive PHP-FPM, retry/failover upstream et spooling disque du corps de requête pour un fonctionnement plus sûr sous charge
• +WordPress routing/cache preset plus PHP application recipes for common framework and forum deployments
• +Métriques PHP et attributs OpenTelemetry, support X-Accel-Redirect, X-Sendfile et X-Accel-Expires

Publié le 18 mai 2026

• +fluxheim-acme binaire compagnon autonome pour le renouvellement des certificats, le statut et la signalisation du socket de reload ACME
• +fluxheim-config-tester binaire autonome pour valider les configurations en CI et dans les entrypoints conteneur sans démarrer le gateway
• +Socket Unix de reload ACME - prise en compte live des certificats sans redémarrage du gateway
• +Nouveau profil de build profile-php — proxy + web + php-fpm + tls-rustls + security
• +Security hardening improvements across the request pipeline

Publié le 16 mai 2026

• +Opt-in PHP-FPM FastCGI bridge for WordPress-style front-controller applications
• +Résolution stricte des scripts et traitement requête/réponse FastCGI borné
• +Browser-validated WordPress proxy/PHP cookie compatibility fixes
• +PHP-FPM peut servir les assets statiques depuis la même racine tout en routant PHP vers FPM
• +New php-fpm fonctionnalité Cargo (implique proxy and web)

Publié le 14 mai 2026

• +Shared ingress/TLS feature-graph split — focused cache and proxy profiles are now TLS/ACME-capable
• +New profile-cache-edge — cache without static web module
• +New profile-proxy-edge — focused reverse proxy edge
• +Official focused container images for cache and proxy profiles

May 2026

2026

• + Profils de policy TLS
• + Multi-certificate rustls SNI
• + Émission et renouvellement de certificats ACME gérés
• + Issuers compatibles EAB (Actalis et autres)
• + Secrets TLS adossés à des fichiers
• + acme-init outil guidé de bootstrap d'issuer
• + Unités systemd packagées pour le renouvellement des certificats

2026

• + Routage virtual host par header Host avec fallback default-vhost
• + Route-level static, proxy, and redirect actions
• + Static file serving with MIME detection, ETag, conditional 304, byte ranges
• + Whole-vhost and route-level reverse proxying
• + rustls TLS with SNI, static/bought certificate support
• + Forwarding sûr des challenges ACME HTTP-01
• + Admin control-plane with bearer-token auth and brute-force throttling
• + Policy sécurisée de headers requête/réponse
• + Optional HTTP → HTTPS redirect with safe Host validation
• + Unité systemd, packaging RPM
• + Rootless Podman container images