Mengonfigurasi Anthos Service Mesh untuk menggunakan CA Service

Selain Mesh CA, Anda dapat mengonfigurasi Anthos Service Mesh untuk menggunakan Certificate Authority Service. Pratinjau ini memberi Anda kesempatan untuk bereksperimen dengan CA Service, yang kami harap akan cocok untuk kasus penggunaan berikut:

  • Jika Anda memerlukan certificate authority yang berbeda untuk menandatangani sertifikat beban kerja pada cluster yang berbeda.
  • Jika Anda memerlukan certificate authority untuk menandatangani sertifikat beban kerja yang terikat ke root perusahaan kustom.
  • Jika Anda perlu mencadangkan kunci penandatanganan di HSM yang dikelola Google.

Penggunaan Mesh CA termasuk dalam harga Anthos Service Mesh. CA Service tidak termasuk dalam harga dasar Anthos Service Mesh. CA Service tetap gratis selama periode pratinjau.

Panduan ini menjelaskan cara mengintegrasikan CA Service dengan penginstalan baru Anthos Service Mesh 1.10.6-asm.2 di GKE.

Menyiapkan CA Service

Saat menyiapkan CA Service untuk menyiapkan integrasi dengan Anthos Service Mesh, sebaiknya lakukan hal berikut:

  • Buat CA di project yang sama dengan cluster GKE.
  • Menyiapkan satu CA subordinat per cluster GKE.
  • Buat CA subordinate di region Google Cloud yang sama dengan cluster.

Untuk mulai menggunakan CA Service, lihat Panduan Memulai Layanan CA.

Mengonfigurasi Anthos Service Mesh untuk menggunakan CA Service

  1. Download paket Anthos Service Mesh kpt:

    kpt pkg get \
    https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm
    
  2. Beri Anthos Service Mesh izin untuk menggunakan CA Service guna membuat sertifikat workload. Ganti nilai placeholder dalam perintah dengan kode berikut:

    • SUB_CA_ID: Nama subordinate CA yang Anda buat.
    • CA_LOCATION: Lokasi tempat subordinate CA dibuat.
    • PROJECT_ID: Project ID project tempat Anda membuat CA.
    gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \
        --location="CA_LOCATION" \
        --project="PROJECT_ID" \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \
        --role="roles/privateca.certificateManager"
    
  3. Konfigurasikan paket kpt Anthos Service Mesh agar dapat menggunakan CA subordinat untuk cluster. Langkah-langkah berikut ini akan mengubah file asm/istio/options/private-ca.yaml.

    1. Setel nama CA:

      kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID
      
    2. Tetapkan ID project:

      kpt cfg set asm gcloud.core.project PROJECT_ID
      
  4. Ikuti langkah-langkah di artikel Menginstal Anthos Service Mesh di GKE untuk menggunakan skrip yang disediakan Google guna menginstal Anthos Service Mesh. Saat Anda menjalankan skrip, sertakan opsi berikut:

    --option private-ca
    

    Contoh:

    ./install_asm \
      --project_id PROJECT_ID \
      --cluster_name CLUSTER_NAME \
      --cluster_location CLUSTER_LOCATION \
      --mode install \
      --enable_all \
      --option private-ca
    
  5. Selesaikan penginstalan Anthos Service Mesh untuk mengaktifkan injeksi proxy sidecar otomatis pada workload Anda. Untuk mengetahui detailnya, lihat Men-deploy dan men-deploy ulang workload.

Langkah selanjutnya