Ativar recursos opcionais no plano de controle gerenciado
Esta página descreve como ativar recursos opcionais no Cloud Service Mesh gerenciado. Para informações sobre o plano de controle no cluster, consulte Como ativar recursos opcionais no plano de controle no cluster.
Quando você provisiona o Cloud Service Mesh gerenciado, os recursos compatíveis são diferentes
com base na implementação do plano de controle, e alguns recursos estão disponíveis
apenas na lista de permissões. Consulte
recursos compatíveis para saber mais.
Se você estiver usando uma configuração baseada em IstioOperator
hoje, a
ferramenta Migrar do IstioOperator poderá ajudar
a converter na configuração compatível com o plano de controle gerenciado.
Imagem de proxy distroless
Se você integrou diretamente o Cloud Service Mesh com uma
TRAFFIC_DIRECTOR
gerenciada implementação de plano de controle, somente o tipo de imagem sem distribuição é compatível. Não é possível mudar isso.Se a frota usava originalmente a implementação do plano de controle
ISTIOD
e foi migrada para a implementaçãoTRAFFIC_DIRECTOR
, o tipo de imagem não foi alterado durante a migração, e você pode mudar o tipo de imagem para distroless.
Como prática recomendada, restrinja o conteúdo de um ambiente de execução do contêiner apenas aos pacotes necessários. Essa abordagem melhora a segurança e a proporção de sinal para ruído dos verificadores de vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). O Istio fornece imagens de proxy com base em imagens de base distroless.
A imagem distroless não contém binários além do proxy.
Portanto, não é possível aplicar exec
a um shell ou usar curl
, ping
ou outros
utilitários de depuração no contêiner. No entanto, é possível usar contêineres temporários
para anexar a um pod de carga de trabalho em execução para inspecioná-lo e executar
comandos Por exemplo, consulte
Como coletar registros do Cloud Service Mesh.
A configuração a seguir ativa imagens distroless para todo o Cloud Service Mesh. Uma alteração no tipo de imagem requer que cada pod seja reiniciado e seja reinjetado para entrar em vigor.
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-release-channel
namespace: istio-system
data:
mesh: |-
defaultConfig:
image:
imageType: distroless
É possível substituir o imageType
usando a seguinte anotação do pod.
sidecar.istio.io/proxyImageType: debug
Após alterar o tipo de imagem de uma implantação usando a anotação, a implantação precisa ser reiniciada.
kubectl rollout restart deployment -n NAMESPACE DEPLOYMENT_NAME
Como não exige uma imagem base de depuração, a maioria dos tipos de depuração de proxy
precisa usar gcloud beta container fleet mesh debug proxy-status / proxy-config
(detalhes).
Política de tráfego de saída
Por padrão, outboundTrafficPolicy
é definido como ALLOW_ANY
. Nesse modo, todo
o tráfego para qualquer serviço externo é permitido. Para controlar e restringir o tráfego
apenas aos serviços externos para os quais as
entradas de serviço
estão definidas, é possível mudar o comportamento padrão de ALLOW_ANY
para
REGISTRY_ONLY
.
A configuração a seguir configura o
outboundTrafficPolicy
comoREGISTRY_ONLY
:apiVersion: v1 kind: ConfigMap metadata: name: istio-release-channel namespace: istio-system data: mesh: |- outboundTrafficPolicy: mode: REGISTRY_ONLY
em que release-channel é o canal de lançamento (
asm-managed
,asm-managed-stable
ouasm-managed-rapid
).Você pode fazer as alterações de configuração necessárias no configmap usando o seguinte comando:
kubectl edit configmap istio-release-channel -n istio-system -o yaml
Execute este comando para ver o configmap:
kubectl get configmap istio-release-channel -n istio-system -o yaml
Para verificar se
outboundTrafficPolicy
está ativado comREGISTRY_ONLY
, verifique se as seguintes linhas aparecem na seçãomesh:
.... apiVersion: v1 data: mesh: | outboundTrafficPolicy: mode: REGISTRY_ONLY ...
Autenticação de usuário final
É possível configurar a autenticação de usuário gerenciada do Cloud Service Mesh para com controle de acesso e autenticação de usuário final baseada em navegador nas do Google Cloud. Para mais informações, consulte Como configurar a autenticação de usuário do Cloud Service Mesh.
Configure a versão de TLS mínima para suas cargas de trabalho
Se você integrou o Cloud Service Mesh diretamente com uma TRAFFIC_DIRECTOR
implementação de plano de controle gerenciada,
não será possível mudar essa configuração.
Use o campo minProtocolVersion
para especificar a versão de TLS mínima para as conexões TLS entre as cargas de trabalho. Para mais informações sobre como configurar a versão de TLS mínima e verificar a configuração de TLS das cargas de trabalho, consulte
Configuração de versão de TLS mínima de carga de trabalho do Istio.
O exemplo a seguir mostra um ConfigMap
definindo a versão mínima de TLS para
cargas de trabalho como 1.3:
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-release-channel
namespace: istio-system
data:
mesh: |-
meshMTLS:
minProtocolVersion: TLSV1_3