Configurare la connettività dell'autorità di certificazione tramite un proxy

Questa pagina spiega come configurare la connettività dell'autorità di certificazione (CA) tramite un proxy quando la connettività diretta dai carichi di lavoro inseriti tramite sidecar non è disponibile (ad esempio, a causa di firewall o altre funzionalità restrittive). Questa configurazione è applicabile solo per le installazioni di Anthos Service Mesh che utilizzano Certificate Authority Service.

In una tipica installazione di Anthos Service Mesh nel cluster, esegui il deployment di file collaterali in pod di applicazioni in cui è disponibile la connettività diretta ai servizi CA (come meshca.googleapis.com e privateca.googleapis.com). Negli scenari in cui non è disponibile una connessione diretta, devi configurare un proxy HTTPS esplicito basato su CONNECT.

Prerequisiti

Prima di configurare la connettività della CA tramite un proxy, assicurati di avere:

  • Connettività di rete stabilita da tutti i pod aggiunti al sidecar al proxy HTTPS.
  • Accesso concesso per il proxy HTTPS di cui è stato eseguito il deployment a tutti i servizi Google Cloud.

Configura una risorsa personalizzata ProxyConfig

  1. Configura una risorsa personalizzata (CR) Istio ProxyConfig da inserire nel proxy sidecar in modo che rimandi al proxy HTTPS. Ad esempio:

    apiVersion: networking.istio.io/v1beta1
    kind: ProxyConfig
    metadata:
     labels:
      istio.io/rev: <istio-rev>   # To target proxies mapped to a specific control plane if needed.
     name: test-proxy-inject
     namespace: istio-system      # To ensure side-cars injected into all namespaces process this CR
    spec:
     environmentVariables:
      CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
    

    dove:

    • CA_PLUGIN_PROXY_URL è la configurazione utilizzata dai file collaterali per stabilire un handshake CONNECT con il proxy che, a sua volta, inoltra tutto il traffico destinato alla CA all'endpoint pertinente.
    • Viene eseguito il deployment di proxy-service nello spazio dei nomi proxy-ns e in ascolto di CONNECT handshake sulla porta proxy-port. Il formato di questa variabile di ambiente è simile alla variabile di ambiente HTTPS_PROXY standard.
  2. Una volta installato il piano di controllo di Anthos Service Mesh, applica la RP ProxyConfig appropriata (configurata nel passaggio 1) al cluster prima di riavviare i carichi di lavoro negli spazi dei nomi con etichetta Anthos Service Mesh per assicurarti che la configurazione venga inserita correttamente nei sidecar. Questa configurazione è necessaria per consentire ai file collaterali di ricevere certificati dei carichi di lavoro firmati dalla CA, in modo da garantire che il pod inserito collaterale possa essere avviato.