Ativar recursos opcionais no plano de controle gerenciado

Esta página descreve como ativar recursos opcionais no Cloud Service Mesh gerenciado. Para informações sobre o plano de controle no cluster, consulte Como ativar recursos opcionais no plano de controle no cluster.

Quando você provisiona o Cloud Service Mesh gerenciado, os recursos compatíveis diferem com base na implementação do plano de controle, e alguns recursos estão disponíveis apenas na lista de permissões. Consulte os recursos compatíveis para mais detalhes. Se você estiver usando uma configuração baseada em IstioOperator hoje, a ferramenta Migrar do IstioOperator poderá ajudar a converter na configuração compatível com o plano de controle gerenciado.

Imagem de proxy distroless

  • Se você integrou diretamente o Cloud Service Mesh com uma TRAFFIC_DIRECTOR gerenciada implementação de plano de controle, somente o tipo de imagem sem distribuição é compatível. Não é possível mudar isso.

  • Se a frota usava originalmente a implementação do plano de controle ISTIOD e foi migrada para a implementação TRAFFIC_DIRECTOR, o tipo de imagem não foi alterado durante a migração, e você pode mudar o tipo de imagem para distroless.

Como prática recomendada, restrinja o conteúdo de um ambiente de execução do contêiner apenas aos pacotes necessários. Essa abordagem melhora a segurança e a proporção de sinal para ruído dos verificadores de vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). O Istio fornece imagens de proxy com base em imagens de base distroless.

A imagem distroless não contém binários além do proxy. Portanto, não é possível aplicar exec a um shell ou usar curl, ping ou outros utilitários de depuração no contêiner. No entanto, é possível usar contêineres temporários para anexar a um pod de carga de trabalho em execução para inspecionar e executar comandos personalizados. Por exemplo, consulte Como coletar registros do Cloud Service Mesh.

A configuração a seguir ativa imagens distroless para todo o Cloud Service Mesh. Uma alteração no tipo de imagem requer que cada pod seja reiniciado e seja reinjetado para entrar em vigor.

     apiVersion: v1
     kind: ConfigMap
     metadata:
       name: istio-release-channel
       namespace: istio-system
     data:
       mesh: |-
         defaultConfig:
           image:
             imageType: distroless

É possível substituir o imageType usando a seguinte anotação do pod.

sidecar.istio.io/proxyImageType: debug

Após alterar o tipo de imagem de uma implantação usando a anotação, a implantação precisa ser reiniciada.

kubectl rollout restart deployment -n NAMESPACE DEPLOYMENT_NAME

Como não exige uma imagem base de depuração, a maioria dos tipos de depuração de proxy precisa usar gcloud beta container fleet mesh debug proxy-status / proxy-config (detalhes).

Política de tráfego de saída

Por padrão, outboundTrafficPolicy é definido como ALLOW_ANY. Nesse modo, todo o tráfego para qualquer serviço externo é permitido. Para controlar e restringir o tráfego apenas aos serviços externos para os quais as entradas de serviço estão definidas, é possível mudar o comportamento padrão de ALLOW_ANY para REGISTRY_ONLY.

  1. A configuração a seguir configura o outboundTrafficPolicy como REGISTRY_ONLY:

      apiVersion: v1
      kind: ConfigMap
      metadata:
        name: istio-release-channel
        namespace: istio-system
      data:
        mesh: |-
          outboundTrafficPolicy:
           mode: REGISTRY_ONLY
    

    em que release-channel é o canal de lançamento (asm-managed, asm-managed-stable ou asm-managed-rapid).

  2. Você pode fazer as mudanças de configuração necessárias no configmap usando o seguinte comando:

    kubectl edit configmap istio-release-channel -n istio-system -o yaml
    
  3. Execute este comando para ver o configmap:

    kubectl get configmap istio-release-channel -n istio-system -o yaml
    
  4. Para verificar se outboundTrafficPolicy está ativado com REGISTRY_ONLY, verifique se as seguintes linhas aparecem na seção mesh:.

    ...
    apiVersion: v1
    data:
      mesh: |
        outboundTrafficPolicy:
         mode: REGISTRY_ONLY
    ...
    

Autenticação de usuário final

É possível configurar a autenticação gerenciada do usuário do Cloud Service Mesh para autenticação do usuário final baseada em navegador e controle de acesso às cargas de trabalho implantadas. Para mais informações, consulte Como configurar a autenticação do usuário do Cloud Service Mesh.

Configure a versão de TLS mínima para suas cargas de trabalho

Se você integrou o Cloud Service Mesh diretamente com uma TRAFFIC_DIRECTOR implementação de plano de controle gerenciada, não será possível mudar essa configuração.

Use o campo minProtocolVersion para especificar a versão de TLS mínima para as conexões TLS entre as cargas de trabalho. Para mais informações sobre como configurar a versão de TLS mínima e verificar a configuração de TLS das cargas de trabalho, consulte Configuração de versão de TLS mínima de carga de trabalho do Istio.

O exemplo a seguir mostra um ConfigMap definindo a versão mínima de TLS para cargas de trabalho como 1.3:

apiVersion: v1
kind: ConfigMap
metadata:
  name: istio-release-channel
  namespace: istio-system
data:
  mesh: |-
    meshMTLS:
      minProtocolVersion: TLSV1_3