Anthos Service Mesh 버전 1.4.5부터는 Anthos Service Mesh 인증 기관(Mesh CA)이 GKE pod에 대한 mTLS 인증서와 키의 발급 및 순환을 관리합니다. 오픈소스 Istio 및 이전 버전의 Anthos Service Mesh는 인증 기관으로 Citadel을 사용합니다.
Istio 또는 이전 버전의 Anthos Service Mesh에서 업그레이드하는 경우 커스텀 트러스트 도메인을 사용하는 기존 승인 정책이 있으면 cluster.local
을 사용하도록 로컬 트러스트 도메인을 참조하도록 승인 정책을 업데이트해야 합니다. 기존 승인 정책에서 이미 cluster.local
을 사용하고 있다면 별도의 조치를 취하지 않아도 됩니다.
승인 정책을 업데이트하려면 다음 안내를 따르세요.
승인 정책에 grep을 실행하여 커스텀 트러스트 도메인의 모든 어커런스를 찾습니다. 다음 예시에서는
old-td
가 커스텀 트러스트 도메인의 이름입니다.apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - old-td/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin
커스텀 트러스트 도메인을
cluster.local
로 변경하고 업데이트된 정책을 적용합니다.kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - cluster.local/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin --- EOF