Mengonfigurasi konektivitas Certificate Authority melalui proxy

Panduan ini menjelaskan cara mengonfigurasi konektivitas certificate authority (CA) melalui proxy saat konektivitas langsung dari beban kerja yang dimasukkan sidecar tidak tersedia (misalnya, karena firewall atau fitur terbatas lainnya). Konfigurasi ini hanya berlaku untuk penginstalan Anthos Service Mesh yang menggunakan Certificate Authority Service.

Dalam penginstalan Anthos Service Mesh dalam cluster standar, Anda men-deploy sidecar di pod aplikasi tempat konektivitas langsung ke layanan CA (seperti meshca.googleapis.com dan privateca.googleapis.com) tersedia. Jika skenario jika koneksi langsung tidak tersedia, Anda harus mengonfigurasi proxy HTTPS berbasis CONNECT eksplisit.

Prasyarat

Sebelum mengonfigurasi konektivitas CA melalui proxy, pastikan Anda telah:

• Konektivitas jaringan yang terbentuk dari semua pod yang dimasukkan sidecar ke proxy HTTPS.
• Memberikan akses untuk proxy HTTPS yang di-deploy ke semua layanan Google Cloud.

Mengonfigurasi resource kustom ProxyConfig

1. Konfigurasikan Istio ProxyConfig resource kustom (CR) untuk dimasukkan ke proxy file bantuan agar mengarah ke proxy HTTPS. Contoh:

   apiVersion: networking.istio.io/v1beta1
   kind: ProxyConfig
   metadata:
    labels:
     istio.io/rev: <istio-rev>   # To target proxies mapped to a specific control plane if needed.
    name: test-proxy-inject
    namespace: istio-system      # To ensure side-cars injected into all namespaces process this CR
   spec:
    environmentVariables:
     CA_PLUGIN_PROXY_URL: http://<proxy-service>.<proxy-ns>:<proxy-port>
   

   dengan:

   • CA_PLUGIN_PROXY_URL adalah konfigurasi yang digunakan oleh file bantuan untuk membuat handshake CONNECT dengan proxy yang kemudian meneruskan semua traffic yang ditetapkan untuk CA ke endpoint yang relevan.
   • proxy-service di-deploy di namespace proxy-ns dan memproses handshake CONNECT pada port proxy-port. Format variabel lingkungan ini mirip dengan variabel lingkungan HTTPS_PROXY standar.

2. Setelah bidang kontrol Anthos Service Mesh diinstal, terapkan CR ProxyConfig yang sesuai (dikonfigurasi di langkah 1) pada cluster sebelum memulai ulang beban kerja di namespace berlabel Anthos Service Mesh untuk memastikan bahwa konfigurasi dimasukkan dengan benar ke sidecar. Konfigurasi ini diperlukan bagi file bantuan untuk mendapatkan sertifikat workload yang ditandatangani dari CA, yang memastikan bahwa pod yang dimasukkan file bantuan dapat dimulai.