Aggiornamento dei criteri di autorizzazione

A partire dalla versione 1.4.5 di Anthos Service Mesh, l'autorità di certificazione di Anthos Service Mesh (Mesh CA) gestisce l'emissione e la rotazione di certificati e chiavi mTLS per i pod GKE. Istio open source e le versioni precedenti di Anthos Service Mesh utilizzano Istio CA (precedentemente nota come Citadel) come autorità di certificazione.

Se stai eseguendo l'upgrade da Istio o da una versione precedente di Anthos Service Mesh e hai criteri di autorizzazione esistenti che utilizzano un dominio di attendibilità personalizzato, devi aggiornare i criteri di autorizzazione in modo che utilizzi cluster.local per fare riferimento al tuo dominio di attendibilità locale. Se i criteri di autorizzazione esistenti utilizzano già cluster.local, non devi fare nulla.

Per aggiornare i criteri di autorizzazione:

  1. Applica i criteri di autorizzazione per trovare tutte le occorrenze del tuo dominio di attendibilità personalizzato. Nell'esempio seguente, old-td è il nome di un dominio di attendibilità personalizzato.

    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - old-td/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    
  2. Modifica il dominio di attendibilità personalizzato in cluster.local e applica il criterio aggiornato.

    kubectl apply -f - <<EOF
    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - cluster.local/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    ---
    EOF
    

Passaggi successivi