Oltre a Mesh CA, puoi configurare Anthos Service Mesh per utilizzare Certificate Authority Service. Questa anteprima ti offre l'opportunità di sperimentare con CA Service che prevediamo sarà adatto ai seguenti casi d'uso:
- Se hai bisogno di autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi.
- Se hai bisogno di autorità di certificazione per firmare i certificati dei carichi di lavoro che si concatenano a una radice aziendale personalizzata.
- Se devi eseguire il backup delle chiavi di firma in un HSM gestito da Google.
L'uso di Mesh CA è incluso nel prezzo di Anthos Service Mesh. Il servizio CA non è incluso nel prezzo base di Anthos Service Mesh. CA Service è gratuito durante il periodo di anteprima.
Questa guida descrive come integrare CA Service con una nuova installazione di Anthos Service Mesh 1.10.6-asm.2 su GKE.
Configurazione di CA Service
Quando configuri CA Service per prepararti all'integrazione con Anthos Service Mesh, ti consigliamo di seguire questi suggerimenti:
- Crea la CA nello stesso progetto del cluster GKE.
- Configura una CA subordinata per cluster GKE.
- Crea la CA subordinata nella stessa regione Google Cloud del cluster.
Per iniziare a utilizzare CA Service, consulta la guida rapida di CA Service.
Configurazione di Anthos Service Mesh per l'utilizzo di CA Service in corso...
Scarica il pacchetto
kptdi Anthos Service Mesh:kpt pkg get \ https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asmConcedi ad Anthos Service Mesh l'autorizzazione per utilizzare il servizio CA per creare certificati dei carichi di lavoro. Sostituisci i valori segnaposto nei comandi con quanto segue:
SUB_CA_ID: il nome della CA subordinata che hai creato.CA_LOCATION: la località in cui è stata creata la CA subordinata.PROJECT_ID: l'ID del progetto in cui hai creato la CA.
gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \ --location="CA_LOCATION" \ --project="PROJECT_ID" \ --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \ --role="roles/privateca.certificateManager"Configura il pacchetto
kptdi Anthos Service Mesh per utilizzare la CA subordinata per il cluster. I passaggi seguenti consentono di modificare il fileasm/istio/options/private-ca.yaml.Imposta il nome della CA:
kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_IDImposta l'ID progetto:
kpt cfg set asm gcloud.core.project PROJECT_ID
Segui i passaggi in Installazione di Anthos Service Mesh su GKE per utilizzare uno script fornito da Google per installare Anthos Service Mesh. Quando esegui lo script, includi la seguente opzione:
--option private-caAd esempio:
./install_asm \ --project_id PROJECT_ID \ --cluster_name CLUSTER_NAME \ --cluster_location CLUSTER_LOCATION \ --mode install \ --enable_all \ --option private-caCompleta l'installazione di Anthos Service Mesh per abilitare l'inserimento automatico di proxy sidecar sui tuoi carichi di lavoro. Per maggiori dettagli, consulta Deployment e nuova esecuzione del deployment dei carichi di lavoro.