Anthos Service Mesh für die Verwendung von CA Service konfigurieren

Neben Mesh CA können Sie auch Anthos Service Mesh zur Verwendung von Certificate Authority Service konfigurieren. Diese Vorschau bietet Ihnen die Möglichkeit, CA Service testweise anzuwenden. Sie eignet sich unserer Meinung nach für folgende Anwendungsfälle:

  • Wenn Sie unterschiedliche CAs benötigen, um Arbeitslastzertifikate auf unterschiedlichen Clustern zu signieren.
  • Wenn Sie CAs benötigen, um Arbeitslastzertifikate zu signieren, die mit einer benutzerdefinierten Stammzertifizierungsstelle des Unternehmens verbunden sind.
  • Wenn Sie Ihre Signaturschlüssel in einem von Google verwalteten HSM sichern müssen.

Die Verwendung von Mesh CA ist im Preis für Anthos Service Mesh inbegriffen. Die Nutzung von CA Service ist dagegen nicht im Basispreis für Anthos Service Mesh enthalten. CA Service ist aber während der Vorschauphase kostenlos.

In diesem Leitfaden wird gezeigt, wie Sie CA Service in eine neue Installation von Anthos Service Mesh 1.10.6-asm.2 in GKE einbinden.

CA Service einrichten

Für die Einrichtung von CA Service zur Vorbereitung der Einbindung in Anthos Service Mesh empfehlen wir Folgendes:

  • Erstellen Sie die CA im Projekt des GKE-Clusters.
  • Richten Sie eine untergeordnete CA pro GKE-Cluster ein.
  • Erstellen Sie die untergeordnete CA in der Google Cloud-Region des Clusters.

Eine Einführung in die Verwendung von CA Service finden Sie in der Kurzanleitung für CA Service.

Anthos Service Mesh für die Verwendung von CA Service konfigurieren

  1. Laden Sie das Anthos Service Mesh-Paket kpt herunter:

    kpt pkg get \
    https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm
    
  2. Gewähren Sie Anthos Service Mesh die Berechtigung, CA Service zum Erstellen von Arbeitslastzertifikaten zu verwenden. Ersetzen Sie die Platzhalterwerte in den Befehlen durch Folgendes:

    • SUB_CA_ID ist der Name der untergeordneten CA, die Sie erstellt haben.
    • CA_LOCATION ist der Standort, an dem die untergeordnete CA erstellt wurde.
    • PROJECT_ID ist die ID des Projekts, in dem Sie die CA erstellt haben.
    gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \
        --location="CA_LOCATION" \
        --project="PROJECT_ID" \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \
        --role="roles/privateca.certificateManager"
    
  3. Konfigurieren Sie das Anthos Service Mesh-Paket kpt für die Verwendung der untergeordneten CA für den Cluster. Mit den folgenden Schritten wird die Datei asm/istio/options/private-ca.yaml geändert.

    1. Legen Sie den CA-Namen fest:

      kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID
      
    2. Legen Sie die Projekt-ID fest:

      kpt cfg set asm gcloud.core.project PROJECT_ID
      
  4. Folgen Sie der Anleitung unter Anthos Service Mesh in GKE installieren, um Anthos Service Mesh mit einem von Google bereitgestellten Skript zu installieren. Schließen Sie beim Ausführen des Skripts die folgende Option ein:

    --option private-ca
    

    Beispiel:

    ./install_asm \
      --project_id PROJECT_ID \
      --cluster_name CLUSTER_NAME \
      --cluster_location CLUSTER_LOCATION \
      --mode install \
      --enable_all \
      --option private-ca
    
  5. Schließen Sie die Anthos Service Mesh-Installation ab, um das automatische Einfügen des Sidecar-Proxys für Ihre Arbeitslasten zu aktivieren. Weitere Informationen finden Sie unter Arbeitslasten bereitstellen und bereitstellen.

Nächste Schritte