Configurer la connectivité de l'autorité de certification via un proxy
{version_1.0.1 dCe guide explique comment configurer la connectivité de l'autorité de certification via un proxy lorsque la connectivité directe des charges de travail injectées via un side-car n'est pas disponible (par exemple, en raison de pare-feu ou d'autres fonctionnalités restrictives). Cette configuration ne s'applique qu'aux installations Cloud Service Mesh qui utilisent Certificate Authority Service.
Dans une installation Cloud Service Mesh standard dans un cluster, vous déployez des side-cars dans des pods d'application où une connectivité directe aux services d'autorité de certification (tels que meshca.googleapis.com
et privateca.googleapis.com
) est disponible. Dans les cas où aucune connexion directe n'est disponible, vous devez configurer un proxy HTTPS explicite basé sur CONNECT
.
Prérequis
Avant de configurer la connectivité CA via un proxy, assurez-vous d'avoir:
- Connectivité réseau établie à partir de tous les pods injectés via un side-car vers le proxy HTTPS.
- Accès à tous les services Google Cloud accordé au proxy HTTPS déployé.
Configurer une ressource personnalisée ProxyConfig
Configurez une ressource personnalisée (CR) ProxyConfig d'Istio à injecter dans le proxy side-car pour qu'elle pointe vers le proxy HTTPS. Exemple :
apiVersion: networking.istio.io/v1beta1 kind: ProxyConfig metadata: labels: istio.io/rev: <istio-rev> # To target proxies mapped to a specific control plane if needed. name: test-proxy-inject namespace: istio-system # To ensure side-cars injected into all namespaces process this CR spec: environmentVariables: CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
où :
CA_PLUGIN_PROXY_URL
est la configuration utilisée par les side-cars pour établir un handshakeCONNECT
avec le proxy, qui transfère ensuite tout le trafic destiné à l'autorité de certification au point de terminaison approprié.proxy-service
est déployé dans l'espace de nomsproxy-ns
et écoute les handshakesCONNECT
sur le portproxy-port
. Le format de cette variable d'environnement est semblable à celui de la variable d'environnement standardHTTPS_PROXY
.
Une fois le plan de contrôle Cloud Service Mesh installé, appliquez la RS
ProxyConfig
appropriée (configurée à l'étape 1) sur le cluster avant de redémarrer les charges de travail dans les espaces de noms associés à Cloud Service Mesh afin de vous assurer que la configuration est correctement injectée dans les side-cars. Cette configuration est requise pour que les side-cars obtiennent des certificats de charge de travail signés de l'autorité de certification, ce qui garantit que le pod injecté dans le side-car peut démarrer.