Como atualizar suas políticas de autorização

A partir da versão 1.4.5, a autoridade de certificação do Anthos Service Mesh (Mesh CA) gerencia a emissão e a rotação de certificados e chaves mTLS para pods do GKE. O Istio de código aberto e as versões anteriores do Anthos Service Mesh usam o Citadel como autoridade de certificação.

Se estiver fazendo upgrade do Istio ou de uma versão anterior do Anthos Service Mesh e você tiver políticas de autorização atuais que usam um domínio de confiança personalizado. , você precisa atualizar suas políticas de autorização para usar cluster.local a fim de se referir ao domínio de confiança local. Se suas políticas de autorização atuais já usam o cluster.local, você não precisa fazer nada.

Para atualizar suas políticas de autorização:

  1. Execute políticas de autorização para encontrar todas as ocorrências do seu domínio de confiança personalizado. No exemplo a seguir, old-td é o nome de um domínio de confiança personalizado.

    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - old-td/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    
  2. Altere o domínio de confiança personalizado para cluster.local e aplique a política atualizada.

    kubectl apply -f - <<EOF
    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - cluster.local/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    ---
    EOF
    

A seguir