승인 정책 업데이트

Anthos Service Mesh 버전 1.4.5부터는 Anthos Service Mesh 인증 기관(Mesh CA)이 GKE pod에 대한 mTLS 인증서와 키의 발급 및 순환을 관리합니다. 오픈소스 Istio 및 이전 버전의 Anthos Service Mesh는 인증 기관으로 Citadel을 사용합니다.

Istio 또는 이전 버전의 Anthos Service Mesh에서 업그레이드하는 경우 커스텀 트러스트 도메인을 사용하는 기존 승인 정책이 있으면 cluster.local을 사용하도록 로컬 트러스트 도메인을 참조하도록 승인 정책을 업데이트해야 합니다. 기존 승인 정책에서 이미 cluster.local을 사용하고 있다면 별도의 조치를 취하지 않아도 됩니다.

승인 정책을 업데이트하려면 다음 안내를 따르세요.

  1. 승인 정책에 grep을 실행하여 커스텀 트러스트 도메인의 모든 어커런스를 찾습니다. 다음 예시에서는 old-td가 커스텀 트러스트 도메인의 이름입니다.

    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - old-td/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    
  2. 커스텀 트러스트 도메인을 cluster.local로 변경하고 업데이트된 정책을 적용합니다.

    kubectl apply -f - <<EOF
    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - cluster.local/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    ---
    EOF
    

다음 단계