Mesh CA に加えて、認証局を使用するように Anthos Service Mesh を構成できます。このプレビュー機能を利用すると、CA Service を試すことができます。これは、次のユースケースに適しています。
- 異なるクラスタ上のワークロード証明書への署名に別の認証局が必要な場合。
- カスタム エンタープライズ ルートに連結されたワークロード証明書に署名する認証局が必要な場合。
- Google が管理する HSM に署名鍵を元に戻す必要がある場合。
メッシュ CA の使用は Anthos Service Mesh の料金に含まれています。CA Service は、Anthos Service Mesh の基本料金には含まれていません。プレビュー期間中、CA Service は無料でご利用いただけます。
このガイドでは、GKE 上で Anthos Service Mesh 1.10.6-asm.2 の新規インストールと CA Service を統合する方法について説明します。
CA Service の設定
Anthos Service Mesh との統合に備えて CA Service を設定する場合は、次のことをおすすめします。
- GKE クラスタと同じプロジェクトに CA を作成します。
- GKE クラスタごとに下位 CA を 1 つ設定します。
- クラスタと同じ Google Cloud リージョンに下位 CA を作成します。
CA Service の使用を開始するには、CA Service クイックスタートをご覧ください。
CA Service を使用するように Anthos Service Mesh を構成する
Anthos Service Mesh
kpt
パッケージをダウンロードします。kpt pkg get \ https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm
CA Service を使用してワークロード証明書を作成する権限を Anthos Service Mesh に付与します。コマンドのプレースホルダ値を次のように置き換えます。
SUB_CA_ID
: 作成した下位 CA の名前。CA_LOCATION
: 下位 CA が作成された場所。PROJECT_ID
: CA を作成したプロジェクトのプロジェクト ID。
gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \ --location="CA_LOCATION" \ --project="PROJECT_ID" \ --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \ --role="roles/privateca.certificateManager"
クラスタの下位 CA を使用するように Anthos Service Mesh
kpt
パッケージを構成します。次の手順ではasm/istio/options/private-ca.yaml
ファイルを変更します。CA 名を設定します。
kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID
プロジェクト ID を設定します。
kpt cfg set asm gcloud.core.project PROJECT_ID
GKE への Anthos Service Mesh のインストールの手順に沿って、Google 提供のスクリプトを使用して Anthos Service Mesh をインストールします。スクリプトの実行時に、次のオプションを指定します。
--option private-ca
例:
./install_asm \ --project_id PROJECT_ID \ --cluster_name CLUSTER_NAME \ --cluster_location CLUSTER_LOCATION \ --mode install \ --enable_all \ --option private-ca
Anthos Service Mesh のインストールを完了して、ワークロードの自動サイドカー プロキシ インジェクションを有効にします。詳しくは、ワークロードのデプロイと再デプロイをご覧ください。