CA Service を使用するように Anthos Service Mesh を構成する

Mesh CA に加えて、認証局を使用するように Anthos Service Mesh を構成できます。このプレビュー機能を利用すると、CA Service を試すことができます。これは、次のユースケースに適しています。

  • 異なるクラスタ上のワークロード証明書への署名に別の認証局が必要な場合。
  • カスタム エンタープライズ ルートに連結されたワークロード証明書に署名する認証局が必要な場合。
  • Google が管理する HSM に署名鍵を元に戻す必要がある場合。

メッシュ CA の使用は Anthos Service Mesh の料金に含まれています。CA Service は、Anthos Service Mesh の基本料金には含まれていません。プレビュー期間中、CA Service は無料でご利用いただけます。

このガイドでは、GKE 上で Anthos Service Mesh 1.10.6-asm.2 の新規インストールと CA Service を統合する方法について説明します。

CA Service の設定

Anthos Service Mesh との統合に備えて CA Service を設定する場合は、次のことをおすすめします。

  • GKE クラスタと同じプロジェクトに CA を作成します。
  • GKE クラスタごとに下位 CA を 1 つ設定します。
  • クラスタと同じ Google Cloud リージョンに下位 CA を作成します。

CA Service の使用を開始するには、CA Service クイックスタートをご覧ください。

CA Service を使用するように Anthos Service Mesh を構成する

  1. Anthos Service Mesh kpt パッケージをダウンロードします。

    kpt pkg get \
    https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm
    
  2. CA Service を使用してワークロード証明書を作成する権限を Anthos Service Mesh に付与します。コマンドのプレースホルダ値を次のように置き換えます。

    • SUB_CA_ID: 作成した下位 CA の名前。
    • CA_LOCATION: 下位 CA が作成された場所。
    • PROJECT_ID: CA を作成したプロジェクトのプロジェクト ID。
    gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \
        --location="CA_LOCATION" \
        --project="PROJECT_ID" \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \
        --role="roles/privateca.certificateManager"
    
  3. クラスタの下位 CA を使用するように Anthos Service Mesh kpt パッケージを構成します。次の手順では asm/istio/options/private-ca.yaml ファイルを変更します。

    1. CA 名を設定します。

      kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID
      
    2. プロジェクト ID を設定します。

      kpt cfg set asm gcloud.core.project PROJECT_ID
      
  4. GKE への Anthos Service Mesh のインストールの手順に沿って、Google 提供のスクリプトを使用して Anthos Service Mesh をインストールします。スクリプトの実行時に、次のオプションを指定します。

    --option private-ca
    

    例:

    ./install_asm \
      --project_id PROJECT_ID \
      --cluster_name CLUSTER_NAME \
      --cluster_location CLUSTER_LOCATION \
      --mode install \
      --enable_all \
      --option private-ca
    
  5. Anthos Service Mesh のインストールを完了して、ワークロードの自動サイドカー プロキシ インジェクションを有効にします。詳しくは、ワークロードのデプロイと再デプロイをご覧ください。

次のステップ