A partir da versão 1.4.5, a autoridade de certificação do Anthos Service Mesh (Mesh CA) gerencia a emissão e a rotação de certificados e chaves mTLS para pods do GKE. O Istio de código aberto e as versões anteriores do Anthos Service Mesh usam o Citadel como autoridade de certificação.
Se estiver fazendo upgrade do Istio ou de uma versão anterior do Anthos Service Mesh e você
tiver
políticas de autorização
atuais que usam um domínio de confiança
personalizado. , você precisa atualizar suas políticas de autorização para usar
cluster.local
a fim de se referir ao domínio de confiança local. Se suas políticas de autorização atuais já usam o cluster.local
, você não precisa fazer nada.
Para atualizar suas políticas de autorização:
Execute políticas de autorização para encontrar todas as ocorrências do seu domínio de confiança personalizado. No exemplo a seguir,
old-td
é o nome de um domínio de confiança personalizado.apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - old-td/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin
Altere o domínio de confiança personalizado para
cluster.local
e aplique a política atualizada.kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - cluster.local/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin --- EOF