Además de la CA de Mesh, puedes configurar Anthos Service Mesh para que use Certificate Authority Service. Esta vista previa te brinda la oportunidad de experimentar con el Servicio de CA, que esperamos que sea adecuado para los siguientes casos de uso:
- Si necesitas autoridades certificadoras para que firmen certificados de carga de trabajo en diferentes clústeres.
- Si necesitas autoridades certificadoras para que firmen certificados de carga de trabajo que se conecten con una raíz empresarial personalizada.
- Si necesitas respaldar tus claves de firma en un HSM administrado por Google.
El uso de la CA de Mesh se incluye en el precio de Anthos Service Mesh. El Servicio de CA no se incluye en el precio base de Anthos Service Mesh. El Servicio de CA es gratuito durante el período de vista previa.
En esta guía, se describe cómo integrar el Servicio de CA con una instalación nueva de 1.10.6-asm.2 de Anthos Service Mesh en GKE.
Configura el Servicio de CA
Cuando configures el servicio de CA a fin de prepararte para la integración con Anthos Service Mesh, te recomendamos que tengas en cuenta lo siguiente:
- Crea la CA en el mismo proyecto que el clúster de GKE.
- Configura una CA subordinada por clúster de GKE.
- Crea la CA subordinada en la misma región de Google Cloud que el clúster.
Para comenzar a usar el servicio de CA, consulta la Guía de inicio rápido del servicio de CA.
Configura Anthos Service Mesh para usar el servicio de CA
Descarga el paquete
kptde Anthos Service Mesh:kpt pkg get \ https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asmOtorga permiso a Anthos Service Mesh para usar el servicio de CA a fin de crear certificados de carga de trabajo. Reemplaza los valores de marcador de posición en los comandos por lo siguiente:
SUB_CA_ID: El nombre de la CA subordinada que creaste.CA_LOCATION: La ubicación donde se creó la CA subordinada.PROJECT_ID: El ID del proyecto en el que creaste la CA.
gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \ --location="CA_LOCATION" \ --project="PROJECT_ID" \ --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \ --role="roles/privateca.certificateManager"Configura el paquete
kptde Anthos Service Mesh a fin de usar la CA subordinada para el clúster. Los siguientes pasos modifican el archivoasm/istio/options/private-ca.yaml.Establece el nombre de la CA:
kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_IDConfigura el ID del proyecto:
kpt cfg set asm gcloud.core.project PROJECT_ID
Sigue los pasos en Instala Anthos Service Mesh en GKE para usar la secuencia de comandos que proporciona Google a fin de instalar Anthos Service Mesh. Cuando ejecutes la secuencia de comandos, incluye la siguiente opción:
--option private-caPor ejemplo:
./install_asm \ --project_id PROJECT_ID \ --cluster_name CLUSTER_NAME \ --cluster_location CLUSTER_LOCATION \ --mode install \ --enable_all \ --option private-caCompleta la instalación de Anthos Service Mesh para habilitar la inserción automática del proxy de sidecar en tus cargas de trabajo. Para obtener más información, consulta Implementa y vuelve a implementar cargas de trabajo.