Memperbarui kebijakan otorisasi

Mulai dari Anthos Service Mesh versi 1.4.5, certificate authority Anthos Service Mesh (Mesh CA) mengelola penerbitan dan rotasi sertifikat dan kunci mTLS untuk Pod GKE. Istio open source dan Anthos Service Mesh versi sebelumnya menggunakan Citadel sebagai certificate authority.

Jika Anda melakukan upgrade dari Istio atau Anthos Service Mesh versi sebelumnya, dan sudah memiliki kebijakan otorisasi yang menggunakan domain kepercayaan kustom, Anda harus memperbarui kebijakan otorisasi agar menggunakan cluster.local untuk merujuk ke domain kepercayaan lokal Anda. Jika kebijakan otorisasi yang ada sudah menggunakan cluster.local, Anda tidak perlu melakukan tindakan apa pun.

Untuk memperbarui kebijakan otorisasi:

1. Grep kebijakan otorisasi Anda untuk menemukan semua kemunculan domain kepercayaan kustom Anda. Pada contoh berikut, old-td adalah nama domain kepercayaan kustom.

   apiVersion: security.istio.io/v1beta1
   kind: AuthorizationPolicy
   metadata:
     name: service-httpbin.default.svc.cluster.local
     namespace: default
   spec:
     rules:
     - from:
       - source:
           principals:
           - old-td/ns/sleep-allow/sa/sleep
       to:
       - operation:
           methods:
           - GET
     selector:
       matchLabels:
         app: httpbin
   

2. Ubah domain kepercayaan kustom menjadi cluster.local, lalu terapkan kebijakan yang telah diperbarui.

   kubectl apply -f - <<EOF
   apiVersion: security.istio.io/v1beta1
   kind: AuthorizationPolicy
   metadata:
     name: service-httpbin.default.svc.cluster.local
     namespace: default
   spec:
     rules:
     - from:
       - source:
           principals:
           - cluster.local/ns/sleep-allow/sa/sleep
       to:
       - operation:
           methods:
           - GET
     selector:
       matchLabels:
         app: httpbin
   ---
   EOF
   

Langkah selanjutnya

• Mengaktifkan kebijakan keamanan pod
• Pelajari keamanan di Anthos Service Mesh