À partir de la version 1.4.5 d'Anthos Service Mesh, Mesh CA (l'autorité de certification d'Anthos Service Mesh) gère l'émission et la rotation des clés et des certificats mTLS pour les pods GKE. La version Open Source d'Istio et les versions antérieures d'Anthos Service Mesh utilisent Istio CA (anciennement Citadel) comme autorité de certification.
Si vous effectuez une mise à niveau à partir d'Istio ou d'une version antérieure d'Anthos Service Mesh et que vous disposez de règles d'autorisation existantes qui utilisent un domaine d'approbation personnalisé, vous devez mettre à jour les règles d'autorisation pour utiliser cluster.local
afin de faire référence à votre domaine d'approbation local. Si vos règles d'autorisation existantes utilisent déjà cluster.local
, vous n'avez rien à faire.
Pour mettre à jour vos règles d'autorisation, procédez comme suit :
Effectuez une recherche grep sur vos règles d'autorisation afin de détecter toutes les occurrences de votre domaine d'approbation personnalisé. Dans l'exemple suivant,
old-td
est le nom d'un domaine d'approbation personnalisé.apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - old-td/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin
Remplacez le domaine d'approbation personnalisé par
cluster.local
, puis appliquez la règle mise à jour.kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: service-httpbin.default.svc.cluster.local namespace: default spec: rules: - from: - source: principals: - cluster.local/ns/sleep-allow/sa/sleep to: - operation: methods: - GET selector: matchLabels: app: httpbin --- EOF