Mengonfigurasi konektivitas Certificate Authority melalui proxy

Panduan ini menjelaskan cara mengonfigurasi konektivitas certificate authority (CA) melalui proxy saat konektivitas langsung dari beban kerja yang dimasukkan sidecar tidak tersedia (misalnya, karena firewall atau fitur pembatasan lainnya). Konfigurasi ini hanya berlaku untuk penginstalan Cloud Service Mesh yang menggunakan Layanan Otoritas Sertifikasi.

Dalam penginstalan Cloud Service Mesh dalam cluster biasa, Anda men-deploy sidecar di pod aplikasi tempat konektivitas langsung ke layanan CA (seperti meshca.googleapis.com dan privateca.googleapis.com) tersedia. Dalam skenario saat koneksi langsung tidak tersedia, Anda harus mengonfigurasi proxy HTTPS berbasis CONNECT eksplisit.

Prasyarat

Sebelum mengonfigurasi konektivitas CA melalui proxy, pastikan Anda memiliki:

  • Membangun konektivitas jaringan dari semua pod yang dimasukkan sidecar ke proxy HTTPS.
  • Memberikan akses untuk proxy HTTPS yang di-deploy ke semua layanan Google Cloud.

Mengonfigurasi resource kustom ProxyConfig

  1. Konfigurasikan resource kustom (CR) ProxyConfig Istio untuk dimasukkan ke dalam proxy sidecar agar mengarah ke proxy HTTPS. Contoh:

    apiVersion: networking.istio.io/v1beta1
    kind: ProxyConfig
    metadata:
     labels:
      istio.io/rev: <istio-rev>   # To target proxies mapped to a specific control plane if needed.
     name: test-proxy-inject
     namespace: istio-system      # To ensure side-cars injected into all namespaces process this CR
    spec:
     environmentVariables:
      CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
    

    dengan:

    • CA_PLUGIN_PROXY_URL adalah konfigurasi yang digunakan oleh sidecar untuk membuat handshake CONNECT dengan proxy yang kemudian meneruskan semua traffic yang ditujukan ke CA ke endpoint yang relevan.
    • proxy-service di-deploy di namespace proxy-ns dan memproses handshake CONNECT di port proxy-port. Format variabel lingkungan ini mirip dengan variabel lingkungan HTTPS_PROXY standar.
  2. Setelah platform kontrol Cloud Service Mesh diinstal, terapkan CR ProxyConfig yang sesuai (dikonfigurasi di langkah 1) di cluster sebelum memulai ulang beban kerja di namespace berlabel Cloud Service Mesh untuk memastikan bahwa konfigurasi dimasukkan dengan benar ke sidecar. Konfigurasi ini diperlukan agar sidecar mendapatkan sertifikat workload yang ditandatangani dari CA, yang memastikan bahwa pod yang dimasukkan sidecar dapat dimulai.