Anthos Service Mesh バージョン 1.4.5 以降では、Anthos Service Mesh 認証局(Mesh CA)が GKE Pod の mTLS 証明書と鍵の発行とローテーションを管理します。オープンソースの Istio と以前のバージョンの Anthos Service Mesh では、認証局として Citadel を使用しています。
Istio または以前のバージョンの Anthos Service Mesh からアップグレードするときに、カスタム信頼ドメインを使用する既存の認証ポリシーがある場合、cluster.local
を使用して、ローカルの信頼ドメインを参照するように認証ポリシーを更新する必要があります。既存の認証ポリシーですでに cluster.local
を使用している場合は、何もする必要はありません。
認証ポリシーを更新するには:
Grep で認証ポリシーを検索し、カスタム信頼ドメインのすべてのオカレンスを探します。次の例の
old-td
は、カスタム信頼ドメインの名前です。apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - old-td/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin
カスタム信頼ドメインを
cluster.local
に変更し、更新されたポリシーを適用します。kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - cluster.local/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin --- EOF