Mulai dari Anthos Service Mesh versi 1.4.5, certificate authority Anthos Service Mesh (Mesh CA) mengelola penerbitan dan rotasi sertifikat dan kunci mTLS untuk Pod GKE. Istio open source dan Anthos Service Mesh versi sebelumnya menggunakan Istio CA (sebelumnya dikenal sebagai Citadel) sebagai certificate authority.
Jika Anda melakukan upgrade dari Istio atau Anthos Service Mesh versi sebelumnya, dan sudah memiliki kebijakan otorisasi yang menggunakan domain kepercayaan kustom, Anda harus memperbarui kebijakan otorisasi agar menggunakan cluster.local untuk merujuk ke domain kepercayaan lokal Anda. Jika kebijakan otorisasi yang ada sudah menggunakan cluster.local, Anda tidak perlu melakukan tindakan apa pun.
Untuk memperbarui kebijakan otorisasi:
Grep kebijakan otorisasi Anda untuk menemukan semua kemunculan domain kepercayaan kustom Anda. Pada contoh berikut,
old-tdadalah nama domain kepercayaan kustom.apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - old-td/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbinUbah domain kepercayaan kustom menjadi
cluster.local, lalu terapkan kebijakan yang telah diperbarui.kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - cluster.local/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin --- EOF