Outre Mesh CA, vous pouvez configurer Anthos Service Mesh pour qu'il utilise le Certificate Authority Service. Cette version bêta vous permet de tester le service CA, qui devrait être adapté aux cas d'utilisation suivants :
- Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
- Vous avez besoin d'autorités de certification pour signer les certificats de charge de travail associés à une racine d'entreprise personnalisée.
- Vous devez sauvegarder vos clés de signature dans un HSM géré par Google.
L'utilisation de Mesh CA est incluse dans la tarification d'Anthos Service Mesh. Le service CA n'est pas inclus dans le prix de base d'Anthos Service Mesh. Le service CA est gratuit pendant la période bêta.
Ce guide explique comment intégrer le service CA à une nouvelle installation d'Anthos Service Mesh 1.10.6-asm.2 sur GKE.
Configurer le service CA
Lors de la configuration du service CA afin de préparer l'intégration à Anthos Service Mesh, nous vous recommandons de prendre les mesures suivantes :
- Créez l'autorité de certification dans le même projet que le cluster GKE.
- Configurez une autorité de certification subordonnée pour chaque cluster GKE.
- Créez l'autorité de certification subordonnée dans la même région Google Cloud que le cluster.
Pour commencer à utiliser le service CA, consultez la page Guide de démarrage rapide du service CA.
Configurer Anthos Service Mesh pour utiliser le service CA
Téléchargez le package Anthos Service Mesh
kpt
:kpt pkg get \ https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm
Autorisez Anthos Service Mesh à utiliser le service CA pour créer des certificats de charge de travail. Remplacez les valeurs d'espace réservé dans les commandes par les éléments suivants :
SUB_CA_ID
: nom de l'autorité de certification subordonnée que vous avez créée.CA_LOCATION
: emplacement où l'autorité de certification subordonnée a été créée.PROJECT_ID
: ID du projet dans lequel vous avez créé l'autorité de certification.
gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \ --location="CA_LOCATION" \ --project="PROJECT_ID" \ --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \ --role="roles/privateca.certificateManager"
Configurez le package
kpt
d'Anthos Service Mesh afin d'utiliser l'autorité de certification subordonnée pour le cluster. Les étapes suivantes permettent de modifier le fichierasm/istio/options/private-ca.yaml
.Définissez le nom de l'autorité de certification :
kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID
Définissez l'ID du projet :
kpt cfg set asm gcloud.core.project PROJECT_ID
Suivez les étapes de la page Installer Anthos Service Mesh sur GKE afin d'utiliser un script fourni par Google pour installer Anthos Service Mesh. Lorsque vous exécutez le script, incluez l'option suivante :
--option private-ca
Exemple :
./install_asm \ --project_id PROJECT_ID \ --cluster_name CLUSTER_NAME \ --cluster_location CLUSTER_LOCATION \ --mode install \ --enable_all \ --option private-ca
Terminez l'installation d'Anthos Service Mesh pour activer l'injection automatique de proxy sidecar sur vos charges de travail. Pour en savoir plus, consultez la page Déployer et redéployer des charges de travail.