Memperbarui kebijakan otorisasi

Mulai dari Anthos Service Mesh versi 1.4.5, certificate authority Anthos Service Mesh (Mesh CA) mengelola penerbitan dan rotasi sertifikat dan kunci mTLS untuk Pod GKE. Istio open source dan Anthos Service Mesh versi sebelumnya menggunakan Istio CA (sebelumnya dikenal sebagai Citadel) sebagai certificate authority.

Jika Anda melakukan upgrade dari Istio atau Anthos Service Mesh versi sebelumnya, dan sudah memiliki kebijakan otorisasi yang menggunakan domain kepercayaan kustom, Anda harus memperbarui kebijakan otorisasi agar menggunakan cluster.local untuk merujuk ke domain kepercayaan lokal Anda. Jika kebijakan otorisasi yang ada sudah menggunakan cluster.local, Anda tidak perlu melakukan tindakan apa pun.

Untuk memperbarui kebijakan otorisasi:

  1. Grep kebijakan otorisasi Anda untuk menemukan semua kemunculan domain kepercayaan kustom Anda. Pada contoh berikut, old-td adalah nama domain kepercayaan kustom.

    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - old-td/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    
  2. Ubah domain kepercayaan kustom menjadi cluster.local, lalu terapkan kebijakan yang telah diperbarui.

    kubectl apply -f - <<EOF
    apiVersion: security.istio.io/v1beta1
    kind: AuthorizationPolicy
    metadata:
      name: service-httpbin.default.svc.cluster.local
      namespace: default
    spec:
      rules:
      - from:
        - source:
            principals:
            - cluster.local/ns/sleep-allow/sa/sleep
        to:
        - operation:
            methods:
            - GET
      selector:
        matchLabels:
          app: httpbin
    ---
    EOF
    

Langkah selanjutnya