A partire dalla versione 1.4.5 di Anthos Service Mesh, l'autorità di certificazione di Anthos Service Mesh (Mesh CA) gestisce l'emissione e la rotazione di certificati e chiavi mTLS per i pod GKE. Istio open source e le versioni precedenti di Anthos Service Mesh utilizzano Istio CA (precedentemente nota come Citadel) come autorità di certificazione.
Se stai eseguendo l'upgrade da Istio o da una versione precedente di Anthos Service Mesh e hai criteri di autorizzazione esistenti che utilizzano un dominio di attendibilità personalizzato, devi aggiornare i criteri di autorizzazione in modo che utilizzi cluster.local per fare riferimento al tuo dominio di attendibilità locale. Se i criteri di autorizzazione esistenti utilizzano già
cluster.local, non devi fare nulla.
Per aggiornare i criteri di autorizzazione:
Applica i criteri di autorizzazione per trovare tutte le occorrenze del tuo dominio di attendibilità personalizzato. Nell'esempio seguente,
old-tdè il nome di un dominio di attendibilità personalizzato.apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - old-td/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbinModifica il dominio di attendibilità personalizzato in
cluster.locale applica il criterio aggiornato.kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - cluster.local/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin --- EOF