Mengonfigurasi konektivitas Certificate Authority melalui proxy
Panduan ini menjelaskan cara mengonfigurasi konektivitas certificate authority (CA) melalui proxy saat konektivitas langsung dari beban kerja yang dimasukkan sidecar tidak tersedia (misalnya, karena firewall atau fitur pembatasan lainnya). Konfigurasi ini hanya berlaku untuk penginstalan Cloud Service Mesh yang menggunakan Layanan Otoritas Sertifikasi.
Dalam penginstalan Cloud Service Mesh dalam cluster biasa, Anda men-deploy sidecar di
pod aplikasi tempat konektivitas langsung ke layanan CA (seperti
meshca.googleapis.com
dan privateca.googleapis.com
) tersedia. Dalam
skenario saat koneksi langsung tidak tersedia, Anda harus mengonfigurasi
proxy HTTPS berbasis CONNECT
eksplisit.
Prasyarat
Sebelum mengonfigurasi konektivitas CA melalui proxy, pastikan Anda memiliki:
- Membangun konektivitas jaringan dari semua pod yang dimasukkan sidecar ke proxy HTTPS.
- Memberikan akses untuk proxy HTTPS yang di-deploy ke semua layanan Google Cloud.
Mengonfigurasi resource kustom ProxyConfig
Konfigurasikan resource kustom (CR) ProxyConfig Istio untuk dimasukkan ke dalam proxy sidecar agar mengarah ke proxy HTTPS. Contoh:
apiVersion: networking.istio.io/v1beta1 kind: ProxyConfig metadata: labels: istio.io/rev: <istio-rev> # To target proxies mapped to a specific control plane if needed. name: test-proxy-inject namespace: istio-system # To ensure side-cars injected into all namespaces process this CR spec: environmentVariables: CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
dengan:
CA_PLUGIN_PROXY_URL
adalah konfigurasi yang digunakan oleh sidecar untuk membuat handshakeCONNECT
dengan proxy yang kemudian meneruskan semua traffic yang ditujukan ke CA ke endpoint yang relevan.proxy-service
di-deploy di namespaceproxy-ns
dan memproses handshakeCONNECT
di portproxy-port
. Format variabel lingkungan ini mirip dengan variabel lingkunganHTTPS_PROXY
standar.
Setelah platform kontrol Cloud Service Mesh diinstal, terapkan CR
ProxyConfig
yang sesuai (dikonfigurasi di langkah 1) di cluster sebelum memulai ulang beban kerja di namespace berlabel Cloud Service Mesh untuk memastikan bahwa konfigurasi dimasukkan dengan benar ke sidecar. Konfigurasi ini diperlukan agar sidecar mendapatkan sertifikat workload yang ditandatangani dari CA, yang memastikan bahwa pod yang dimasukkan sidecar dapat dimulai.