Dua API keamanan beta, PeerAuthentication
dan RequestAuthentication
, diperkenalkan di Anthos Service Mesh 1.5. Kebijakan autentikasi alfa tidak akan digunakan lagi. Halaman ini menjelaskan cara memperbarui kebijakan autentikasi alfa ke kebijakan keamanan beta.
Ubah kebijakan yang dipilih layanan menjadi pemilih workload
Semua kebijakan beta keamanan harus menggunakan model konfigurasi berbasis pemilih workload atau namespace, bukan berbasis layanan.
Update pada RequestAuthentication
Contoh berikut menunjukkan cara mengupdate dari Policy
alfa ke
RequestAuthentication
:
# Alpha policy for authentication to enable Origin Authentication for service foo.
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
name: "jwt-example"
spec:
targets:
- name: httpbin
origins:
- jwt:
issuer: "testing@secure.istio.io"
jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.5/security/tools/jwt/samples/jwks.json"
Update pada resource RequestAuthentication
beta terkait:
apiVersion: "security.istio.io/v1beta1"
kind: "RequestAuthentication"
metadata:
name: "jwt-example"
spec:
selector:
matchLabels:
app: httpbin
jwtRules:
- issuer: "testing@secure.istio.io"
jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.5/security/tools/jwt/samples/jwks.json"
Mengupdate ke PeerAuthentication
Anda juga harus memperbarui kebijakan autentikasi untuk TLS bersama (mTLS). MeshPolicy
alfa mengaktifkan PERMISSIVE
atau STRICT
mTLS di seluruh mesh. Resource
PeerAuthentication
beta menggantikan MeshPolicy
alfa. Khususnya, jika
Anda memiliki MeshPolicy
yang mirip dengan berikut ini:
apiVersion: "authentication.istio.io/v1alpha1"
kind: "MeshPolicy"
metadata:
name: "default"
labels:
release: istio
spec:
peers:
- mtls:
mode: PERMISSIVE
Perbarui dengan resource PeerAuthentication
di namespace root:
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
name: "default"
namespace: "istio-system"
spec:
mtls:
mode: PERMISSIVE
Sebelum Anthos Service Mesh 1.6.14, penginstalan default menyertakan MeshPolicy
dengan mode PERMISSIVE. 1.6.14 Anthos Service Mesh tidak lagi
menghasilkan MeshPolicy.
- Sebaiknya gunakan
PeerAuthentication
berbasis namespace. Meskipun Anthos Service Mesh mendukung [auto mTLS](https://istio.io/v1.6/docs/tasks/security/authentication/authn-policy/#auto-mutual-tls{: class="external"}, ini hanya berfungsi baik denganPeerAuthentication
level mesh atau namespace. Saat menggunakanPeerAuthentication
tingkat beban kerja, Anda perlu mengonfigurasiDestinationRule
yang sesuai. - Anda dapat mengonfigurasi kebijakan autentikasi alfa untuk menggunakan autentikasi
Asal guna menolak permintaan. Namun,
RequestAuthentication
yang baru hanya menolak permintaan jika token tidak valid. Sebaiknya gunakanAuthorizationPolicy
untuk menentukan kontrol akses lebih lanjut. - Meskipun kebijakan autentikasi alfa masih berfungsi di 1.6.14-asm.2 Anthos Service Mesh, kebijakan autentikasi alfa akan sepenuhnya tidak digunakan lagi dalam rilis berikutnya. Sebaiknya selesaikan migrasi sesegera mungkin.
- Selama transisi, jika ada kebijakan alfa dan beta, hanya kebijakan beta yang berlaku dan kebijakan alfa akan diabaikan.
- Untuk mengetahui informasi selengkapnya, baca Kebijakan Autentikasi dalam dokumentasi Istio.