Migrazione della CA in situ

Se il tuo mesh ha più cluster con carichi di lavoro che inviano richieste ai carichi di lavoro su un altro cluster, segui tutti i passaggi di questa guida per tutti i cluster.

Segui i passaggi descritti in questa guida per eseguire la migrazione di un control plane Cloud Service Mesh v1.13 o versioni successive in-cluster con l'autorità di certificazione Cloud Service Mesh a Certificate Authority Service.

Limitazioni

Le migrazioni e gli upgrade delle CA in loco sono supportati solo da Cloud Service Mesh v1.13 o in un secondo momento.

Prerequisiti

Prima di seguire i passaggi descritti in questa guida, assicurati di avere:

• Autorizzazioni di amministratore del cluster concesse
• Configurato gcloud

Inoltre, assicurati di utilizzare Cloud Service Mesh 1.13 o versioni successive.

Strumenti richiesti

Durante la migrazione, esegui uno strumento fornito da Google, migrate_ca. Questo strumento ha le seguenti dipendenze:

• awk
• grep
• jq
• kubectl
• head
• sed
• tr
• yq

Prima di scaricare lo strumento migrate_ca, segui i passaggi descritti in Preparazione della migrazione.

Panoramica della migrazione

Durante la procedura di migrazione, l'autenticazione e l'autorizzazione sono completamente operative tra i carichi di lavoro che utilizzano la CA precedente e quelli che utilizzano la nuova CA.

Lo strumento di migrazione migrate_ca creerà una mappa di configurazione di Kubernetes su Monitorare lo stato della migrazione delle CA in base alla revisione/canale di Cloud Service Mesh installato. Questa è una risorsa con privilegi installata nello spazio dei nomi istio-system.

apiVersion: v1
kind: ConfigMap
metadata:
  Name: asm-ca-migration-<revision>
Data:
  revision:
  start_time:
  state_update_time:
  current_state: TRUSTANCHOR_INJECT | MIGRATE_CA | ROLLBACK
  old_ca:
  target_ca:

Lo strumento di migrazione eseguirà il backup della mappa di configurazione Istio MeshConfig prima di modificarla e tenterà di eseguire la migrazione della configurazione della CA utilizzando il CRD ProxyConfig se possibile.

Di seguito è riportato uno schema della migrazione della CA:

1. Preparati per la migrazione.

2. Inizializza la nuova CA.

3. Aggiungi trust anchor a livello di mesh per tutti i cluster del parco risorse.

4. Esegui la migrazione della CA.

5. Esegui un rollback.

Prepararsi per la migrazione

1. Scarica lo strumento migrate_ca bash:

   curl  https://raw.githubusercontent.com/GoogleCloudPlatform/anthos-service-mesh-packages/main/scripts/migration/ca-migration/migrate_ca > migrate_ca
   

2. Rendi eseguibile lo strumento:

   chmod +x migrate_ca
   

3. Imposta la directory di lavoro:

   ./migrate_ca setup --output_dir OUTPUT_DIR
   

4. Modifica la directory di lavoro in OUTPUT_DIR specificata nel passaggio precedente

   cd OUTPUT_DIR
   

5. Esegui il seguente comando per assicurarti che tutti i prerequisiti siano soddisfatti:

   ./migrate_ca check-prerequisites
   

6. Prendi nota della revisione (ASM_REVISION) di al piano di controllo associato alla CA precedente di cui viene eseguita la migrazione.

   Nel cluster

   asm-revision=$(kubectl get deploy -n istio-system -l app=istiod -o \
    "jsonpath={.items[*].metadata.labels[istio\.io/rev']}{'\n'}")
   

7. Poiché la migrazione delle CA in loco richiede il riavvio dei carichi di lavoro, devi assicurarti che Budget di interruzione dei pod sia configurata correttamente e per tutte le applicazioni per le quali è necessario eseguire la migrazione della CA più di un pod in esecuzione.

8. Assicurati che il cluster sia già registrato a un parco risorse e che Workload-Identity sia abilitato sul cluster. Poi, prendi nota ID progetto del parco risorse come (FLEET_ID) per il futuro passaggi.

9. Lo strumento accetta kubeConfig e kubeContext per selezionare il cluster in cui vengono eseguite le operazioni. Se questi argomenti non vengono passati, vengono utilizzati il contesto/la configurazione predefiniti.

   • Per aggiungere le credenziali di un cluster GKE a kubeConfig, utilizza questo comando:

     gcloud container clusters get-credentials CLUSTER_NAME
     

   • Per cambiare il contesto corrente di kubectl o per passare il contesto allo strumento: utilizza questo comando:

     kubectl config get-contexts
     kubectl config use-context CLUSTER_NAME
     

Inizializza la nuova CA

1. I passaggi necessari per inizializzare la nuova CA dipendono dalla nuova CA a cui stanno eseguendo la migrazione. Esegui questi passaggi in ogni cluster del parco risorse in cui vuoi eseguire la migrazione della CA.

   Mesh CA

   Chiama il sottocomando dello strumento di utilità initialize.

   • Se specifichi configurazioni Kubernetes personalizzate:

     ./migrate_ca initialize --kubeconfig KUBECONFIG --kubecontext KUBECONTEXT --ca mesh_ca --old_ca OLD_CA_TYPE \
     --fleet_id FLEET_ID --revision ASM_REVISION
     

   • In caso contrario:

     ./migrate_ca initialize --ca mesh_ca --old_ca OLD_CA_TYPE \
     --fleet_id FLEET_ID --revision ASM_REVISION
     

   Servizio CA

   a. Segui i passaggi richiesti per inizializzare Certificate Authority Service. Prendi nota del valore CA_POOL.

   b. Richiama il sottocomando initialize dello strumento di utilità:

   • Se specifichi configurazioni Kubernetes personalizzate:

     ./migrate_ca initialize --kubeconfig KUBECONFIG --context KUBECONTEXT --ca gcp_cas --ca-pool CA_POOL --ca-old OLD_CA_TYPE \
     --fleet-id FLEET_ID --revision ASM_REVISION
     

   • In caso contrario:

     ./migrate_ca initialize --ca gcp_cas --ca-pool CA_POOL --ca-old OLD_CA_TYPE \
     --fleet-id FLEET_ID --revision ASM_REVISION
     

Aggiungi trust anchor a livello di mesh per tutti i cluster nel parco risorse

1. Ripeti i passaggi seguenti sia per la nuova CA sia per la CA precedente per tutti i cluster della flotta.

2. Scarica i trustAnchors della CA:

   CA mesh

   ./migrate_ca download-trust-anchor --ca mesh_ca --ca_cert ROOT_CERT.pem
   

   Servizio CA

   Memorizza il certificato CA in un file:

   gcloud privateca pools get-ca-certs POOL_NAME --location=POOL_REGION --project=POOL_PROJECT--output-file ROOT_CERT.pem
   

3. Aggiungi i trustAnchor della CA:

   ./migrate-ca add-trust-anchor --ca_cert ROOT_CERT.pem
   

4. Verifica che i trustAnchor siano stati ricevuti da tutti i carichi di lavoro in parco risorse. Nell'argomento namespaces, passa tutti gli spazi dei nomi in cui vengono eseguiti i carichi di lavoro:

   ./migrate-ca check-trust-anchor --ca_cert ROOT_CERT.pem --namespaces NAMESPACES
   

   Risultato previsto:

   Check the CA cert in namespace nsa-1-24232                                                                                                                               
   a-v1-597f875788-52c5t.nsa-1-24232 trusts root-cert.pem
   

Esegui la migrazione della CA

1. Eseguire la migrazione della configurazione CA. Il comando richiesto dipende dalla nuova CA di cui stai eseguendo la migrazione.

   Mesh CA

   ./migrate_ca migrate-ca --ca mesh_ca
   

   Servizio CA

   ./migrate_ca migrate-ca --ca gcp_cas --ca_pool CA_POOL
   

2. Riavvia tutti i carichi di lavoro.

   Per ridurre al minimo il rischio di inattività del traffico TLS, questo passaggio dovrebbe influire sulle con il minor numero di carichi di lavoro. Riavvia solo i carichi di lavoro che associata alla revisione del piano di controllo ASM_REVISION. Ad esempio, se tutti i carichi di lavoro nello spazio dei nomi Kubernetes NAMESPACE sono associati allo stesso Cloud Service Mesh dal piano di controllo.

   kubectl rollout restart deployment -n NAMESPACE
   

3. Verifica che le connessioni mTLS funzionino tra i carichi di lavoro nell'istanza riavviata e altri carichi di lavoro prima di ripetere i passaggi 1 e 2 per tutti spazi dei nomi e per tutti i cluster che fanno parte del parco risorse. Se più recente sono previsti carichi di lavoro e il traffico mesh non viene interrotto, ripeti i passaggi 1 e 2 per tutti gli spazi dei nomi e i cluster che fanno parte del parco risorse. In caso contrario, procedi con l'esecuzione di un rollback per il rollback la configurazione della CA più recente.

4. Verifica che la nuova configurazione della CA sia utilizzata da tutti i carichi di lavoro:

   ./migrate_ca verify-ca --ca_cert ROOT_CERT.pem --namespaces NAMESPACES
   

   Risultato previsto:

   Check the CA configuration in namespace nsb-2-76095
   b-v1-8ff557759-pds69.nsb-2-76095 is signed by root-cert.pem
   

Esegui un rollback

1. Esegui il rollback della configurazione CA e rimuovi i trust anchor appena configurati:

   ./migrate-ca rollback
   

2. Riavviare tutti i carichi di lavoro. Assicurati di riavviare solo i carichi di lavoro associati alla revisione del piano di controllo ASM_REVISION. Ad esempio, se tutti i carichi di lavoro nello spazio dei nomi Kubernetes NAMESPACES sono associati allo stesso Cloud Service Mesh dal piano di controllo.

   kubectl rollout restart deployment -n NAMESPACES
   

3. (Facoltativo) Verifica che la configurazione CA precedente sia utilizzata da tutti carichi di lavoro con scale out impegnativi.

   ./migrate-ca verify-ca --ca_cert older-root-cert.pem
   

4. Ripeti i passaggi da 1 a 3 per tutti i cluster nel parco risorse in cui i carichi di lavoro utilizzano ASM_REVISION.

Complimenti! Hai eseguito correttamente una migrazione in situ della CA.