Configurer Certificate Authority Service pour Managed Cloud Service Mesh

Ce guide explique comment configurer Certificate Authority Service pour le service Cloud Service Mesh géré. Pour en savoir plus sur le maillage de services Cloud dans le cluster, consultez Installez les fonctionnalités par défaut et le service de l'autorité de certification.

En plus de l'autorité de certification Cloud Service Mesh, vous pouvez configurer Cloud Service Mesh Certificate Authority Service. Ce guide vous offre l'occasion d'intégrer le service CA, qui est recommandé pour les cas d'utilisation suivants :

  • Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
  • Vous devez sauvegarder vos clés de signature dans un HSM géré.
  • Vous travaillez dans un secteur hautement réglementé et vous êtes soumis à des exigences de conformité.
  • Si vous souhaitez associer votre CA Cloud Service Mesh à une autorité de certification racine personnalisée pour signer les certificats de charge de travail.

Le coût de l'autorité de certification Cloud Service Mesh est inclus dans le Tarifs de Cloud Service Mesh La CA Service n'est pas inclus dans le tarif de base de Cloud Service Mesh et facturés séparément. En outre, CA Service est fourni avec contrat de niveau de service explicite, ce qui n'est pas le cas de l'autorité de certification Cloud Service Mesh.

Configurer le service d'autorité de certification

  1. Créez le pool d'autorités de certification au niveau DevOps et dans la même région que le cluster qu'il dessert, afin d'éviter des problèmes de latence excessive ou des pannes interrégionales potentielles. Pour en savoir plus, consultez la page Niveaux optimisés pour les charges de travail.
  2. Créez l'autorité de certification afin de disposer d'au moins une autorité de certification active dans le pool d'autorités de certification du même projet que le cluster GKE. Utiliser des autorités de certification subordonnées pour signer Certificats de charge de travail Cloud Service Mesh. Notez le pool d'autorités de certification correspondant à l'autorité de certification subordonnée.
  3. S'il est destiné à ne desservir que les certificats des charges de travail Cloud Service Mesh, définissez la stratégie d'émission suivante pour le pool d'autorités de certification:

    policy.yaml

    baselineValues:
      keyUsage:
        baseKeyUsage:
          digitalSignature: true
          keyEncipherment: true
        extendedKeyUsage:
          serverAuth: true
          clientAuth: true
      caOptions:
        isCa: false
    identityConstraints:
      allowSubjectPassthrough: false
      allowSubjectAltNamesPassthrough: true
      celExpression:
        expression: subject_alt_names.all(san, san.type == URI && san.value.startsWith("spiffe://PROJECT_ID.svc.id.goog/ns/") )
    
  4. Pour mettre à jour la stratégie d'émission du pool d'autorités de certification, exécutez la commande suivante :

    gcloud privateca pools update CA_POOL --location ca_region --issuance-policy policy.yaml
    

    Pour en savoir plus sur la définition d'une stratégie sur un pool, consultez la section Utiliser une stratégie d'émission de certificat.

  5. Si vous utilisez un modèle de certificat, configurez-le maintenant. Pour plus d'informations, suivez le guide du service CA pour les certificats d'identité de charge de travail. Vérifiez que le modèle de certificat est créé dans la même région que le pool d'autorités de certification. S'il existe plusieurs régions pour les pools d'autorités de certification, créez un modèle de certificat par région.

Rôles requis pour utiliser le service CA

Pour cette intégration, toutes les charges de travail dans Cloud Service Mesh nécessitent les éléments suivants : Rôles IAM:

    WORKLOAD_IDENTITY="PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.workloadCertificateRequester"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.auditor"

Si vous utilisez des modèles de certificat:

    gcloud privateca templates add-iam-policy-binding CERT_TEMPLATE_ID \
        --member "group:${WORKLOAD_IDENTITY}" \
        --role "roles/privateca.templateUser"

Limites

  • Configurez et sélectionnez l'autorité de certification avant de provisionner votre plan de contrôle Cloud Service Mesh. Il n'est pas possible de modifier l'autorité de certification.

Configurer Cloud Service Mesh géré pour utiliser CA Service

  1. Vérifiez que l'espace de noms istio-system existe ou créez-le si tel est le cas. manquant:

      kubectl create ns istio-system
    
  2. Vérifiez si le ConfigMap asm-options existe dans l'espace de noms istio-system:

      kubectl get configmap/asm-options -n istio-system
    
  3. S'il n'existe pas, créez le ConfigMap:

      kubectl create configmap -n istio-system asm-options
    
  4. Appliquez un correctif au ConfigMap pour ajouter une configuration CAS:

      kubectl patch configmap/asm-options -n istio-system --type merge \
      -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/PROJECT_ID/locations/ca_region/caPools/CA_POOL"}}'
    

    Si un modèle de certificat est nécessaire, ajoutez l'ID du modèle au pool d'autorités de certification. en utilisant : comme séparateur:

      kubectl patch configmap/asm-options -n istio-system --type merge \
      -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/PROJECT_ID/locations/ca_region/caPools/CA_POOL:projects/PROJECT_ID/locations/ca_region/certificateTemplates/CERT_TEMPLATE_ID"}}'
    

Une fois les étapes de configuration terminées, poursuivez l'installation de Cloud Service Mesh géré en activant la gestion automatique.