Anthos Service Mesh y Traffic Director ahora son Cloud Service Mesh. Para obtener más información, consulta la Descripción general de Cloud Service Mesh.

Se usó la API de Cloud Translation para traducir esta página.

Configura Certificate Authority Service para la malla de servicios administrados de Cloud

En esta guía, se describe cómo configurar Certificate Authority Service para Cloud Service Mesh administrado. Para obtener información sobre la malla de servicios de Cloud en el clúster, consulta Instala las funciones predeterminadas y el servicio de autoridad certificadora (CA).

Además de la autoridad certificadora de la malla de servicios de Cloud, puedes configurar Cloud Service Mesh Certificate Authority Service. En esta guía, se te brinda la posibilidad de realizar la integración en el servicio de CA, lo que es recomendable para los siguientes casos de uso:

Si necesitas autoridades certificadoras para que firmen certificados de carga de trabajo en diferentes clústeres.
Si necesitas respaldar tus claves de firma en un HSM administrado.
Si te encuentras en una industria altamente regulada y estás sujeto a cumplimiento.
Si quieres encadenar tu CA de Cloud Service Mesh a una raíz empresarial personalizada certificado para firmar certificados de carga de trabajo.

El costo de la autoridad certificadora de la malla de servicios de Cloud se incluye en Precios de Cloud Service Mesh. El CA Service no está incluido en el precio base de Cloud Service Mesh y está se cobra por separado. Además: CA Service incluye un ANS explícito, pero la autoridad certificadora de Cloud Service Mesh no lo hace.

Configura el servicio de CA

Crea el grupo de CA en el nivel DevOps y en la misma región que el clúster al que entrega contenido para evitar problemas de latencia excesiva o posibles interrupciones entre regiones. Para obtener más información, consulta Niveles optimizados según la carga de trabajo.
Crea la CA para tener al menos una autoridad certificadora activa en el grupo de CA en el mismo proyecto que el clúster de GKE. Usa AC subordinadas para firmar certificados de cargas de trabajo de Cloud Service Mesh. Anota el grupo de CA correspondiente a la CA subordinada.

Si solo sirve para entregar certificados de cargas de trabajo de Cloud Service Mesh, la siguiente política de emisión para el grupo de AC:

policy.yaml

baselineValues:
  keyUsage:
    baseKeyUsage:
      digitalSignature: true
      keyEncipherment: true
    extendedKeyUsage:
      serverAuth: true
      clientAuth: true
  caOptions:
    isCa: false
identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: subject_alt_names.all(san, san.type == URI && san.value.startsWith("spiffe://PROJECT_ID.svc.id.goog/ns/") )

Para actualizar la política de emisión del grupo de CA, usa el siguiente comando:
```
gcloud privateca pools update CA_POOL --location ca_region --issuance-policy policy.yaml
```
Para obtener información sobre cómo configurar una política en un grupo, consulta Usa una política de emisión de certificados.
Si usas una plantilla de certificado, configúrala ahora. A fin de obtener más información, sigue la Guía del servicio de CA para los certificados de identidad de carga de trabajo. Asegúrate de que la plantilla de certificado se cree en la misma región que el grupo de CA. Si hay varias regiones para grupos de CA, crea una plantilla de certificado por región.

Roles necesarios para usar el servicio de CA

Para esta integración, todas las cargas de trabajo en Cloud Service Mesh requieren lo siguiente: Roles de IAM:

    WORKLOAD_IDENTITY="PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.workloadCertificateRequester"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.auditor"

Si usas plantillas de certificados, ten en cuenta lo siguiente:

    gcloud privateca templates add-iam-policy-binding CERT_TEMPLATE_ID \
        --member "group:${WORKLOAD_IDENTITY}" \
        --role "roles/privateca.templateUser"

Limitaciones

Configura y elige la AC antes de aprovisionar tu plano de control de Cloud Service Mesh. No se admite el cambio de AC.

Configura Cloud Service Mesh administrado para usar CA Service

Verifica que el espacio de nombres istio-system exista o créalo si es así falta:
```
  kubectl create ns istio-system
```
Verifica si el Configmap asm-options existe en el espacio de nombres istio-system:
```
  kubectl get configmap/asm-options -n istio-system
```

Crea el ConfigMap si no existe:

  kubectl create configmap -n istio-system asm-options

Aplica un parche en el ConfigMap para agregar la configuración CAS:

  kubectl patch configmap/asm-options -n istio-system --type merge \
  -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/PROJECT_ID/locations/ca_region/caPools/CA_POOL"}}'

Si se necesita una plantilla de certificado, agrega el ID de la plantilla al grupo de AC. dirección con : como separador:

  kubectl patch configmap/asm-options -n istio-system --type merge \
  -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/PROJECT_ID/locations/ca_region/caPools/CA_POOL:projects/PROJECT_ID/locations/ca_region/certificateTemplates/CERT_TEMPLATE_ID"}}'

Después de completar los pasos de configuración, continúa con la instalación de Cloud Service Mesh administrado habilitando la administración automática.