Anthos Service Mesh 1.6

Actualiza tus políticas de autorización

A partir de la versión 1.4.5 de Anthos Service Mesh, la autoridad certificada (CA de Mesh) de Anthos Service Mesh administra la emisión y la rotación de certificados y claves de mTLS para los pods de GKE. Istio de código abierto y las versiones anteriores de Anthos Service Mesh usan Citadel como la autoridad certificada.

Si deseas actualizar desde Istio o una versión anterior de Anthos Service Mesh y tienes políticas de autorización existentes que usan un dominio de confianza personalizado, debes actualizar tus políticas de autorización para usar cluster.local a fin de hacer referencia a tu dominio de confianza local. Si tus políticas de autorización existentes ya usan cluster.local, no necesitas hacer nada.

Para actualizar tus políticas de autorización, sigue estos pasos:

  1. Utiliza grep para verificar tus políticas de autorización a fin de encontrar todos los casos de tu dominio de confianza personalizado. En el siguiente ejemplo, old-td es el nombre de un dominio de confianza personalizado.

    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - old-td/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    
  2. Cambia el dominio de confianza personalizado a cluster.local y aplica la política actualizada.

    kubectl apply -f - <<EOF
    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - cluster.local/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    ---
    EOF
    

¿Qué sigue?