PKI Security API の概要

PKI Security API は Kubernetes カスタム リソースを使用し、Kubernetes Resource Model（KRM）に依存しています。これは、Google Distributed Cloud（GDC）のエアギャップ環境でウェブ エンドポイントを保護するために、ウェブ証明書の管理と構成に使用されます。

サービス エンドポイントとディスカバリ ドキュメント

PKI Security API の API エンドポイントは https://GDC_API_SERVER_ENDPOINT/apis/pki.security.gdc.goog/v1 です。ここで、MANAGEMENT_API_SERVER_ENDPOINT は Management API サーバーのエンドポイントです。

kubectl proxy コマンドを使用すると、ブラウザまたは curl などのツールで API エンドポイント URL にアクセスして、PKI Security API のディスカバリ ドキュメントを取得できます。kubectl proxy コマンドは、ローカルマシンの Kubernetes API サーバーへのプロキシを開きます。このコマンドを実行すると、次の URL（http://127.0.0.1:8001/apis/pki.security.gdc.goog/v1）でドキュメントにアクセスできます。

PKI BYO 証明書発行者の例

以下は、PKI セキュリティの Bring Your Own（BYO）証明書発行者の例です。

apiVersion: pki.security.gdc.goog/v1
kind: CertificateIssuer
metadata:
  name: byo-cert-issuer
  namespace: pki-system
  labels:
    pki.security.gdc.goog/is-default-issuer: "true"
spec:
  byoCertConfig:
    fallbackCertificateAuthority:
      name: default-web-tls-ca
      namespace: pki-system