Verbindung der Zertifizierungsstelle über einen Proxy konfigurieren
In dieser Anleitung wird erläutert, wie die Verbindung der Zertifizierungsstelle (CA) über einen Proxy konfiguriert wird, wenn keine direkte Verbindung von den Arbeitslasten mit Sidecar-Datei verfügbar ist (z. B. aufgrund von Firewalls oder anderen restriktiven Funktionen). Diese Konfiguration gilt nur für Cloud Service Mesh-Installationen, die den Certificate Authority Service verwenden.
In einer typischen clusterinternen Cloud Service Mesh-Installation stellen Sie Sidecars in Anwendungs-Pods bereit, in denen eine direkte Verbindung zu CA-Diensten (z. B. meshca.googleapis.com
und privateca.googleapis.com
) verfügbar ist. In Szenarien, in denen keine direkte Verbindung verfügbar ist, müssen Sie einen expliziten CONNECT
-basierten HTTPS-Proxy konfigurieren.
Vorbereitung
Bevor Sie die Verbindung der Zertifizierungsstelle über einen Proxy konfigurieren, müssen folgende Voraussetzungen erfüllt sein:
- Es wurde eine Netzwerkverbindung von allen eingeschleusten Sidecar-Pods zum HTTPS-Proxy hergestellt.
- Dem bereitgestellten HTTPS-Proxy wurde Zugriff auf alle Google Cloud-Dienste gewährt.
Benutzerdefinierte ProxyConfig-Ressource konfigurieren
Konfigurieren Sie eine benutzerdefinierte Istio ProxyConfig-Ressource, die in den Sidecar-Proxy eingefügt wird, um auf den HTTPS-Proxy zu verweisen. Beispiel:
apiVersion: networking.istio.io/v1beta1 kind: ProxyConfig metadata: labels: istio.io/rev: <istio-rev> # To target proxies mapped to a specific control plane if needed. name: test-proxy-inject namespace: istio-system # To ensure side-cars injected into all namespaces process this CR spec: environmentVariables: CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
Dabei gilt:
CA_PLUGIN_PROXY_URL
ist die Konfiguration, die von Sidecars genutzt wird, um einenCONNECT
-Handshake mit dem Proxy einzurichten, der dann den gesamten von der Zertifizierungsstelle festgelegten Traffic an den entsprechenden Endpunkt weiterleitet.proxy-service
wird im Namespaceproxy-ns
bereitgestellt und überwacht aufCONNECT
-Handshakes am Portproxy-port
. Das Format dieser Umgebungsvariablen ähnelt der standardmäßigenHTTPS_PROXY
-Umgebungsvariablen.
Nachdem die Cloud Service Mesh-Steuerungsebene installiert wurde, wenden Sie die entsprechende
ProxyConfig
-CR (konfiguriert in Schritt 1) auf den Cluster an, bevor Sie Arbeitslasten in Namespaces mit Cloud Service Mesh-Label neu starten. So sorgen Sie dafür, dass die Konfiguration korrekt in die Sidecars eingeschleust wird. Diese Konfiguration ist erforderlich, damit Sidecars signierte Arbeitslastzertifikate von der Zertifizierungsstelle abrufen können. Dadurch wird sichergestellt, dass der mit Sidecar eingefügte Pod gestartet werden kann.