Mengonfigurasi konektivitas Certificate Authority melalui proxy

Panduan ini menjelaskan cara mengonfigurasi konektivitas certificate authority (CA) melalui proxy ketika konektivitas langsung dari tidak tersedia (misalnya, karena firewall atau fitur terbatas lainnya). Konfigurasi ini hanya berlaku untuk penginstalan Cloud Service Mesh yang menggunakan Certificate Authority Service.

Dalam penginstalan Cloud Service Mesh dalam cluster yang biasa, Anda men-deploy file bantuan dalam pod aplikasi yang menyediakan konektivitas langsung ke layanan CA (seperti meshca.googleapis.com dan privateca.googleapis.com) tersedia. Di beberapa skenario di mana koneksi langsung tidak tersedia, Anda harus mengonfigurasi proxy HTTPS berbasis CONNECT eksplisit.

Prasyarat

Sebelum mengonfigurasi konektivitas CA melalui proxy, pastikan Anda telah:

• Membangun konektivitas jaringan dari semua pod yang dimasukkan ke HTTPS {i>proxy<i}.
• Memberikan akses untuk proxy HTTPS yang di-deploy ke semua layanan Google Cloud.

Mengonfigurasi resource kustom ProxyConfig

1. Mengonfigurasi Resource kustom (CR) Istio ProxyConfig untuk menginjeksikan ke proxy file bantuan agar mengarah ke proxy HTTPS. Contoh:

   apiVersion: networking.istio.io/v1beta1
   kind: ProxyConfig
   metadata:
    labels:
     istio.io/rev: <istio-rev>   # To target proxies mapped to a specific control plane if needed.
    name: test-proxy-inject
    namespace: istio-system      # To ensure side-cars injected into all namespaces process this CR
   spec:
    environmentVariables:
     CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
   

   dengan:

   • CA_PLUGIN_PROXY_URL adalah konfigurasi yang digunakan oleh file bantuan untuk membuat handshake CONNECT dengan proxy yang kemudian meneruskan semua tujuan CA traffic ke endpoint yang relevan.
   • proxy-service di-deploy di namespace proxy-ns dan memproses Handshake CONNECT pada port proxy-port. Format lingkungan ini serupa dengan variabel lingkungan HTTPS_PROXY standar.

2. Setelah bidang kontrol Cloud Service Mesh diinstal, terapkan CR ProxyConfig yang sesuai (dikonfigurasi pada langkah 1) pada cluster sebelum memulai ulang workload di namespace berlabel Cloud Service Mesh untuk memastikan bahwa konfigurasi dimasukkan dengan benar ke dalam file bantuan. Konfigurasi ini yang diperlukan agar file bantuan dapat memperoleh sertifikat workload yang ditandatangani dari CA, yang memastikan bahwa pod yang diinjeksikan dapat dimulai.