Configurare la connettività dell'autorità di certificazione tramite un proxy
Questa pagina spiega come configurare la connettività dell'autorità di certificazione (CA) tramite un proxy quando la connettività diretta dai carichi di lavoro inseriti tramite sidecar non è disponibile (ad esempio, a causa di firewall o altre funzionalità restrittive). Questa configurazione è applicabile solo per le installazioni di Anthos Service Mesh che utilizzano Certificate Authority Service.
In una tipica installazione di Anthos Service Mesh nel cluster, esegui il deployment di file collaterali in pod di applicazioni in cui è disponibile la connettività diretta ai servizi CA (come meshca.googleapis.com
e privateca.googleapis.com
). Negli scenari in cui non è disponibile una connessione diretta, devi configurare un proxy HTTPS esplicito basato su CONNECT
.
Prerequisiti
Prima di configurare la connettività della CA tramite un proxy, assicurati di avere:
- Connettività di rete stabilita da tutti i pod aggiunti al sidecar al proxy HTTPS.
- Accesso concesso per il proxy HTTPS di cui è stato eseguito il deployment a tutti i servizi Google Cloud.
Configura una risorsa personalizzata ProxyConfig
Configura una risorsa personalizzata (CR) Istio ProxyConfig da inserire nel proxy sidecar in modo che rimandi al proxy HTTPS. Ad esempio:
apiVersion: networking.istio.io/v1beta1 kind: ProxyConfig metadata: labels: istio.io/rev: <istio-rev> # To target proxies mapped to a specific control plane if needed. name: test-proxy-inject namespace: istio-system # To ensure side-cars injected into all namespaces process this CR spec: environmentVariables: CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
dove:
CA_PLUGIN_PROXY_URL
è la configurazione utilizzata dai file collaterali per stabilire un handshakeCONNECT
con il proxy che, a sua volta, inoltra tutto il traffico destinato alla CA all'endpoint pertinente.- Viene eseguito il deployment di
proxy-service
nello spazio dei nomiproxy-ns
e in ascolto diCONNECT
handshake sulla portaproxy-port
. Il formato di questa variabile di ambiente è simile alla variabile di ambienteHTTPS_PROXY
standard.
Una volta installato il piano di controllo di Anthos Service Mesh, applica la RP
ProxyConfig
appropriata (configurata nel passaggio 1) al cluster prima di riavviare i carichi di lavoro negli spazi dei nomi con etichetta Anthos Service Mesh per assicurarti che la configurazione venga inserita correttamente nei sidecar. Questa configurazione è necessaria per consentire ai file collaterali di ricevere certificati dei carichi di lavoro firmati dalla CA, in modo da garantire che il pod inserito collaterale possa essere avviato.