A partir de la versión 1.4.5 de Anthos Service Mesh, la autoridad certificada (CA de Mesh) de Anthos Service Mesh administra la emisión y la rotación de certificados y claves de mTLS para los pods de GKE. Istio de código abierto y las versiones anteriores de Anthos Service Mesh usan Citadel como la autoridad certificada.
Si deseas actualizar desde Istio o una versión anterior de Anthos Service Mesh y tienes políticas de autorización existentes que usan un dominio de confianza personalizado, debes actualizar tus políticas de autorización para usar cluster.local
a fin de hacer referencia a tu dominio de confianza local. Si tus políticas de autorización existentes ya usan cluster.local
, no necesitas hacer nada.
Para actualizar tus políticas de autorización, sigue estos pasos:
Utiliza grep para verificar tus políticas de autorización a fin de encontrar todos los casos de tu dominio de confianza personalizado. En el siguiente ejemplo,
old-td
es el nombre de un dominio de confianza personalizado.apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - old-td/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin
Cambia el dominio de confianza personalizado a
cluster.local
y aplica la política actualizada.kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - cluster.local/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin --- EOF
¿Qué sigue?
- Habilitar políticas de seguridad de Pods
- Obtén información sobre la seguridad en Anthos Service Mesh