Além da CA de malha, é possível configurar o Anthos Service Mesh para usar o Certificate Authority Service. Esta visualização fornece uma oportunidade para testar o serviço de CA, que esperamos que seja adequado aos seguintes casos de uso:
- Se você precisar de autoridades de certificação diferentes para assinar certificados de carga de trabalho em clusters diferentes.
- Se você precisar de autoridades de certificação para assinar certificados de carga de trabalho que se conectam a uma raiz empresarial personalizada.
- Se você precisar fazer backup das chaves de assinatura em um HSM gerenciado pelo Google.
O uso da CA de malha está incluído no preço do Anthos Service Mesh. O serviço de CA não está incluído no preço básico do Anthos Service Mesh. O serviço de CA é gratuito durante o período de visualização.
Neste guia, descrevemos como integrar o serviço de CA com uma nova instalação do Anthos Service Mesh 1.10.6-asm.2 no GKE.
Como configurar o serviço de CA
Ao configurar o serviço de CA para se preparar para a integração com o Anthos Service Mesh, recomendamos o seguinte:
- Crie a CA no mesmo projeto que o cluster do GKE.
- Configure uma CA subordinada por cluster do GKE.
- Crie a CA subordinada na mesma região do Google Cloud que o cluster.
Para começar a usar o serviço de CA, consulte o Guia de início rápido do serviço de CA.
Como configurar o Anthos Service Mesh para usar o serviço de CA
Faça o download do pacote
kpt
do Anthos Service Mesh:kpt pkg get \ https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm
Conceda permissão ao Anthos Service Mesh para usar o CA Service para criar certificados de carga de trabalho. Substitua os valores de marcador nos comandos pelo seguinte:
SUB_CA_ID
: o nome da CA subordinada que você criou.CA_LOCATION
: o local em que a CA subordinada foi criada.PROJECT_ID
: o ID do projeto em que você criou a CA.
gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \ --location="CA_LOCATION" \ --project="PROJECT_ID" \ --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \ --role="roles/privateca.certificateManager"
Configurar o pacote
kpt
do Anthos Service Mesh para usar a CA subordinada para o cluster. As etapas a seguir modificam o arquivoasm/istio/options/private-ca.yaml
.Defina o nome da CA:
kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID
Defina o ID do projeto:
kpt cfg set asm gcloud.core.project PROJECT_ID
Siga as etapas em Como instalar o Anthos Service Mesh no GKE para usar um script fornecido pelo Google para instalar o Anthos Service Mesh. Ao executar o script, inclua a seguinte opção:
--option private-ca
Exemplo:
./install_asm \ --project_id PROJECT_ID \ --cluster_name CLUSTER_NAME \ --cluster_location CLUSTER_LOCATION \ --mode install \ --enable_all \ --option private-ca
Conclua a instalação do Anthos Service Mesh para ativar a injeção automática de proxy sidecar nas suas cargas de trabalho. Para mais detalhes, consulte Como implantar e reimplantar cargas de trabalho.