베타 보안 정책으로 업그레이드

Anthos Service Mesh 1.5.10에는 PeerAuthenticationRequestAuthentication의 두 가지 베타 보안 API가 도입되었습니다. 알파 인증 정책이 지원 중단됩니다. 이 페이지에서는 알파 인증 정책을 베타 보안 정책으로 업데이트하는 방법을 설명합니다.

선택한 서비스 정책을 워크로드 선택기로 변경

모든 보안 베타 정책은 서비스 기반이 아니라 워크로드 선택기 또는 네임스페이스 기반 구성 모델을 사용해야 합니다.

RequestAuthentication으로 업데이트

다음 예시에서는 알파 Policy에서 RequestAuthentication으로 업데이트하는 방법을 보여줍니다.

# Alpha policy for authentication to enable Origin Authentication for service foo.
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "jwt-example"
spec:
  targets:
  - name: httpbin
  origins:
  - jwt:
      issuer: "testing@secure.istio.io"
      jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.5/security/tools/jwt/samples/jwks.json"

해당 베타 RequestAuthentication 리소스로 업데이트합니다.

apiVersion: "security.istio.io/v1beta1"
kind: "RequestAuthentication"
metadata:
  name: "jwt-example"
spec:
  selector:
    matchLabels:
      app: httpbin
  jwtRules:
  - issuer: "testing@secure.istio.io"
    jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.5/security/tools/jwt/samples/jwks.json"

PeerAuthentication으로 업데이트

상호 TLS(mTLS)의 인증 정책도 업데이트해야 합니다. 알파 MeshPolicy는 메시 전체 PERMISSIVE 또는 STRICT mTLS를 사용 설정했습니다. 베타 PeerAuthentication 리소스는 알파 MeshPolicy를 대체합니다. 특히 다음과 유사한 MeshPolicy가 있는 경우:

apiVersion: "authentication.istio.io/v1alpha1"
kind: "MeshPolicy"
metadata:
  name: "default"
  labels:
    release: istio
spec:
  peers:
  - mtls:
      mode: PERMISSIVE

루트 네임스페이스에서 PeerAuthentication 리소스를 사용하여 업데이트합니다.

apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "default"
  namespace: "istio-system"
spec:
  mtls:
    mode: PERMISSIVE

Anthos Service Mesh 1.5.10 이전에는 기본 설치에 PERMISSIVE 모드의 MeshPolicy가 포함되어 있습니다. Anthos Service Mesh 1.5.10가 더 이상 MeshPolicy.를 생성하지 않습니다.

  1. 네임스페이스 기반 PeerAuthentication을 사용하는 것이 좋습니다. Anthos Service Mesh는 자동 mTLS를 지원하지만 메시 수준 또는 네임스페이스 수준의 PeerAuthentication에서만 작동합니다. 워크로드 수준 PeerAuthentication을 사용하는 경우 해당 DestinationRule을 구성해야 합니다.
  2. 원본 인증을 사용하여 요청을 거부하도록 알파 인증 정책을 구성할 수 있습니다. 하지만 새 RequestAuthentication은 토큰이 유효하지 않은 경우에만 요청을 거부합니다. AuthorizationPolicy를 사용하여 추가 액세스 제어를 정의하는 것이 좋습니다.
  3. 알파 인증 정책은 Anthos Service Mesh 1.5.10-asm.2에서 계속 작동하지만 다음 버전에서는 알파 인증 정책이 완전히 지원 중단됩니다. 가능한 한 빨리 마이그레이션을 완료하는 것이 좋습니다.
  4. 전환하는 동안 알파 정책과 베타 정책이 모두 존재하는 경우 베타 정책만 적용되고 알파 정책은 무시됩니다.
  5. 자세한 내용은 Istio 문서의 인증 정책을 참조하세요.

다음 단계