Como configurar o Anthos Service Mesh para usar o serviço de CA

Além da CA de malha, é possível configurar o Anthos Service Mesh para usar o Certificate Authority Service. Esta visualização fornece uma oportunidade para testar o serviço de CA, que esperamos que seja adequado aos seguintes casos de uso:

  • Se você precisar de autoridades de certificação diferentes para assinar certificados de carga de trabalho em clusters diferentes.
  • Se você precisar de autoridades de certificação para assinar certificados de carga de trabalho que se conectam a uma raiz empresarial personalizada.
  • Se você precisar fazer backup das chaves de assinatura em um HSM gerenciado pelo Google.

O uso da CA de malha está incluído no preço do Anthos Service Mesh. O serviço de CA não está incluído no preço básico do Anthos Service Mesh. O serviço de CA é gratuito durante o período de visualização.

Neste guia, descrevemos como integrar o serviço de CA com uma nova instalação do Anthos Service Mesh 1.10.6-asm.2 no GKE.

Como configurar o serviço de CA

Ao configurar o serviço de CA para se preparar para a integração com o Anthos Service Mesh, recomendamos o seguinte:

  • Crie a CA no mesmo projeto que o cluster do GKE.
  • Configure uma CA subordinada por cluster do GKE.
  • Crie a CA subordinada na mesma região do Google Cloud que o cluster.

Para começar a usar o serviço de CA, consulte o Guia de início rápido do serviço de CA.

Como configurar o Anthos Service Mesh para usar o serviço de CA

  1. Faça o download do pacote kpt do Anthos Service Mesh:

    kpt pkg get \
    https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm
    
  2. Conceda permissão ao Anthos Service Mesh para usar o CA Service para criar certificados de carga de trabalho. Substitua os valores de marcador nos comandos pelo seguinte:

    • SUB_CA_ID: o nome da CA subordinada que você criou.
    • CA_LOCATION: o local em que a CA subordinada foi criada.
    • PROJECT_ID: o ID do projeto em que você criou a CA.
    gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \
        --location="CA_LOCATION" \
        --project="PROJECT_ID" \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \
        --role="roles/privateca.certificateManager"
    
  3. Configurar o pacote kpt do Anthos Service Mesh para usar a CA subordinada para o cluster. As etapas a seguir modificam o arquivo asm/istio/options/private-ca.yaml.

    1. Defina o nome da CA:

      kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID
      
    2. Defina o ID do projeto:

      kpt cfg set asm gcloud.core.project PROJECT_ID
      
  4. Siga as etapas em Como instalar o Anthos Service Mesh no GKE para usar um script fornecido pelo Google para instalar o Anthos Service Mesh. Ao executar o script, inclua a seguinte opção:

    --option private-ca
    

    Exemplo:

    ./install_asm \
      --project_id PROJECT_ID \
      --cluster_name CLUSTER_NAME \
      --cluster_location CLUSTER_LOCATION \
      --mode install \
      --enable_all \
      --option private-ca
    
  5. Conclua a instalação do Anthos Service Mesh para ativar a injeção automática de proxy sidecar nas suas cargas de trabalho. Para mais detalhes, consulte Como implantar e reimplantar cargas de trabalho.

A seguir