認証ポリシーの更新

Anthos Service Mesh バージョン 1.4.5 以降では、Anthos Service Mesh 認証局(Mesh CA)が GKE Pod の mTLS 証明書と鍵の発行とローテーションを管理します。オープンソースの Istio と以前のバージョンの Anthos Service Mesh では、認証局として Citadel を使用しています。

Istio または以前のバージョンの Anthos Service Mesh からアップグレードするときに、カスタム信頼ドメインを使用する既存の認証ポリシーがある場合、cluster.local を使用して、ローカルの信頼ドメインを参照するように認証ポリシーを更新する必要があります。既存の認証ポリシーですでに cluster.local を使用している場合は、何もする必要はありません。

認証ポリシーを更新するには:

  1. Grep で認証ポリシーを検索し、カスタム信頼ドメインのすべてのオカレンスを探します。次の例の old-td は、カスタム信頼ドメインの名前です。

    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - old-td/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    
  2. カスタム信頼ドメインを cluster.local に変更し、更新されたポリシーを適用します。

    kubectl apply -f - <<EOF
    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - cluster.local/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    ---
    EOF
    

次のステップ