Configura la connettività con l'autorità di certificazione tramite un proxy
Questa guida spiega come configurare la connettività delle autorità di certificazione (CA) attraverso un proxy quando la connettività diretta dai carichi di lavoro inseriti da sidecar non disponibile (ad esempio, a causa di firewall o altre funzionalità restrittive). Questa configurazione è applicabile solo per le installazioni di Cloud Service Mesh che utilizzano Certificate Authority Service.
In una tipica installazione di Cloud Service Mesh all'interno di un cluster, esegui il deployment dei sidecar nei pod di applicazione in cui è disponibile la connettività diretta ai servizi CA (come meshca.googleapis.com
e privateca.googleapis.com
). Nei scenari in cui non è disponibile una connessione diretta, devi configurare un proxy HTTPS esplicito basato su CONNECT
.
Prerequisiti
Prima di configurare la connettività CA tramite un proxy, assicurati di avere:
- Stabilito la connettività di rete da tutti i pod inseriti tramite sidecar a HTTPS proxy.
- È stato concesso l'accesso per il proxy HTTPS di cui è stato eseguito il deployment a tutti i servizi Google Cloud.
Configurare una risorsa personalizzata ProxyConfig
Configura un Risorsa personalizzata (RP) Istio ProxyConfig per inserirlo nel proxy sidecar per puntare al proxy HTTPS. Ad esempio:
apiVersion: networking.istio.io/v1beta1 kind: ProxyConfig metadata: labels: istio.io/rev: <istio-rev> # To target proxies mapped to a specific control plane if needed. name: test-proxy-inject namespace: istio-system # To ensure side-cars injected into all namespaces process this CR spec: environmentVariables: CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
dove:
CA_PLUGIN_PROXY_URL
è la configurazione utilizzata dai file collaterali per stabilire un handshakeCONNECT
con il proxy che inoltra quindi tutte le destinazioni CA il traffico verso l'endpoint pertinente.proxy-service
è dipiegato nello spazio dei nomiproxy-ns
e rimane in ascolto per i handshakeCONNECT
sulla portaproxy-port
. Il formato di questa variabile di ambiente è simile alla variabile di ambienteHTTPS_PROXY
standard.
Dopo aver installato il piano di controllo Cloud Service Mesh, applica il metodo RP
ProxyConfig
appropriata (configurata nel passaggio 1) sul cluster prima il riavvio dei carichi di lavoro negli spazi dei nomi etichettati da Cloud Service Mesh per garantire venga inserita correttamente nei file collaterali. Questa configurazione è necessari per consentire ai file collaterali di ricevere dalla CA i certificati dei carichi di lavoro firmati, assicura l'avvio del pod inserito nel file collaterale.