두 개의 베타 보안 API인 PeerAuthentication
및 RequestAuthentication
가 Anthos Service Mesh 1.5에 도입되었습니다. 알파 인증 정책은 지원 중단됩니다. 이 페이지에서는 알파 인증 정책을 베타 보안 정책으로 업데이트하는 방법을 설명합니다.
선택한 서비스 정책을 워크로드 선택기로 변경
모든 보안 베타 정책은 서비스 기반이 아니라 워크로드 선택기 또는 네임스페이스 기반 구성 모델을 사용해야 합니다.
RequestAuthentication으로 업데이트
다음 예시에서는 알파 Policy
에서 RequestAuthentication
으로 업데이트하는 방법을 보여줍니다.
# Alpha policy for authentication to enable Origin Authentication for service foo.
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
name: "jwt-example"
spec:
targets:
- name: httpbin
origins:
- jwt:
issuer: "testing@secure.istio.io"
jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.5/security/tools/jwt/samples/jwks.json"
해당 베타 RequestAuthentication
리소스로 업데이트합니다.
apiVersion: "security.istio.io/v1beta1"
kind: "RequestAuthentication"
metadata:
name: "jwt-example"
spec:
selector:
matchLabels:
app: httpbin
jwtRules:
- issuer: "testing@secure.istio.io"
jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.5/security/tools/jwt/samples/jwks.json"
PeerAuthentication으로 업데이트
상호 TLS(mTLS)의 인증 정책도 업데이트해야 합니다. 알파 MeshPolicy
는 메시 전체 PERMISSIVE
또는 STRICT
mTLS를 사용 설정했습니다. 베타 PeerAuthentication
리소스는 알파 MeshPolicy
를 대체합니다. 특히 다음과 유사한 MeshPolicy
가 있는 경우:
apiVersion: "authentication.istio.io/v1alpha1"
kind: "MeshPolicy"
metadata:
name: "default"
labels:
release: istio
spec:
peers:
- mtls:
mode: PERMISSIVE
루트 네임스페이스에서 PeerAuthentication
리소스를 사용하여 업데이트합니다.
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
name: "default"
namespace: "istio-system"
spec:
mtls:
mode: PERMISSIVE
Anthos Service Mesh 1.6.14 이전에는 기본 설치에 PERMISSIVE 모드의 MeshPolicy
가 포함되어 있습니다. Anthos Service Mesh 1.6.14가 더 이상 MeshPolicy.
를 생성하지 않습니다.
- 네임스페이스 기반
PeerAuthentication
을 사용하는 것이 좋습니다. Anthos Service Mesh는 [자동 mTLS](https://istio.io/v1.6/docs/tasks/security/authentication/authn-policy/#auto-mutual-tls{: class="external"}를 지원하지만 메시 수준 또는 네임스페이스 수준의PeerAuthentication
에서만 작동합니다. 워크로드 수준PeerAuthentication
을 사용하는 경우 해당DestinationRule
을 구성해야 합니다. - 원본 인증을 사용하여 요청을 거부하도록 알파 인증 정책을 구성할 수 있습니다. 하지만 새
RequestAuthentication
은 토큰이 유효하지 않은 경우에만 요청을 거부합니다.AuthorizationPolicy
를 사용하여 추가 액세스 제어를 정의하는 것이 좋습니다. - 알파 인증 정책은 Anthos Service Mesh 1.6.14-asm.2에서 계속 작동하지만 다음 버전에서는 알파 인증 정책이 완전히 지원 중단됩니다. 가능한 한 빨리 마이그레이션을 완료하는 것이 좋습니다.
- 전환하는 동안 알파 정책과 베타 정책이 모두 존재하는 경우 베타 정책만 적용되고 알파 정책은 무시됩니다.
- 자세한 내용은 Istio 문서의 인증 정책을 참조하세요.