Могу ли я использовать envoyExtAuthzHttp с Anthos для OIDC?

Question

Могу ли я использовать envoyExtAuthzHttp с Anthos для OIDC?

В настоящее время я работаю с OIDC, используя OAuth2-proxy и Istio. Теперь мы хотели бы перейти на Anthos, так как мы в основном используем GCP. Все работает, но мне нужно настроить envoyExtAuthzHttp. Раньше я бегал kubectl edit configmap istio -n istio-systemи добавьте следующее...

      extensionProviders:
  - name: oauth2-proxy    
    envoyExtAuthzHttp:
      service: http-oauth-proxy.istio-system.svc.cluster.local    
      port: 4180
      includeRequestHeadersInCheck: ['cookie']      
      headersToUpstreamOnAllow: ['authorization']      
      headersToDownstreamOnDeny: ['content-type', 'set-cookie']

Однако ASM, похоже, не устанавливает эту карту конфигурации...

Ошибка сервера (NotFound): configmaps "istio" не найден

Я заметил, что есть istio-asm-managedкарта конфигурации. Итак, я попытался добавить конфигурацию к этому, но когда я это сделаю, я не уверен, как перезапустить ASM, поскольку эта команда, которую я использовал, не работает. kubectl rollout restart deployment/istiod -n istio-system.

Когда я пытаюсь зайти на сайт вместо перенаправления, я вижу...

RBAC: доступ запрещен

0

oauth istio google-anthos google-anthos-service-mesh

Источник

user125212 12 апр '22 в 18:48

1 ответ

Другие вопросы по тегам oauth istio google-anthos google-anthos-service-mesh

user2295722 12 окт '22 в 10:33 2022-10-12 10:33 · Answer 1 · 2022-10-12 10:33

Что сработало для меня после изучения того, что делает asmcli, когда вы выполняете шаги миграции здесь , так это установка этой карты конфигурации в istio-system перед включением Anthos Service Mesh:

      apiVersion: v1
data:
  mesh: |
    extensionProviders:
        ...<your settings here>...
kind: ConfigMap
metadata:
  name: istio-asm-managed-rapid
  namespace: istio-system

Я не проверял, действительно ли это было необходимо сделать перед включением ASM, но я сделал это именно так.