Mengonfigurasi konektivitas Certificate Authority melalui proxy

Panduan ini menjelaskan cara mengonfigurasi konektivitas certificate authority (CA) melalui proxy saat konektivitas langsung dari workload yang dimasukkan sebagai file bantuan tidak tersedia (misalnya, karena firewall atau fitur terbatas lainnya). Konfigurasi ini hanya berlaku untuk penginstalan Cloud Service Mesh yang menggunakan Certificate Authority Service.

Dalam penginstalan Cloud Service Mesh dalam cluster standar, Anda men-deploy file bantuan di pod aplikasi tempat konektivitas langsung ke layanan CA (seperti meshca.googleapis.com dan privateca.googleapis.com) tersedia. Pada skenario saat koneksi langsung tidak tersedia, Anda harus mengonfigurasi proxy HTTPS berbasis CONNECT eksplisit.

Prasyarat

Sebelum mengonfigurasi konektivitas CA melalui proxy, pastikan Anda telah:

• Terbentuk konektivitas jaringan dari semua pod yang dimasukkan ke file bantuan ke proxy HTTPS.
• Memberikan akses untuk proxy HTTPS yang di-deploy ke semua layanan Google Cloud.

Mengonfigurasi resource kustom ProxyConfig

1. Konfigurasikan resource kustom (CR) Istio ProxyConfig untuk memasukkan proxy file bantuan agar mengarah ke proxy HTTPS. Contoh:

   apiVersion: networking.istio.io/v1beta1
   kind: ProxyConfig
   metadata:
    labels:
     istio.io/rev: <istio-rev>   # To target proxies mapped to a specific control plane if needed.
    name: test-proxy-inject
    namespace: istio-system      # To ensure side-cars injected into all namespaces process this CR
   spec:
    environmentVariables:
     CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
   

   dengan:

   • CA_PLUGIN_PROXY_URL adalah konfigurasi yang digunakan oleh file bantuan untuk membuat handshake CONNECT dengan proxy yang kemudian meneruskan semua traffic yang ditujukan untuk CA ke endpoint yang relevan.
   • proxy-service di-deploy di namespace proxy-ns dan memproses handshake CONNECT di port proxy-port. Format variabel lingkungan ini mirip dengan variabel lingkungan HTTPS_PROXY standar.

2. Setelah bidang kontrol Cloud Service Mesh diinstal, terapkan CR ProxyConfig yang sesuai (yang dikonfigurasi pada langkah 1) pada cluster sebelum memulai ulang workload di namespace berlabel Cloud Service Mesh untuk memastikan bahwa konfigurasi dimasukkan dengan benar ke dalam file bantuan. Konfigurasi ini diperlukan untuk file bantuan guna mendapatkan sertifikat workload yang ditandatangani dari CA, yang memastikan bahwa pod yang diinjeksikan dapat dimulai.