Mesh CA 외에 Certificate Authority Service를 사용하도록 Anthos Service Mesh를 구성할 수 있습니다. 이 미리보기를 통해 CA 서비스에 대한 실험을 진행할 수 있으며 이는 다음 사용 사례에 적합합니다.
- 여러 클러스터에서 워크로드 인증서에 서명하는 데 다른 인증 기관이 필요한 경우
- 커스텀 엔터프라이즈 루트에 연결되는 워크로드 인증서에 서명하는 인증 기관이 필요한 경우
- Google 관리 HSM에서 서명 키를 백업해야 하는 경우
Mesh CA 사용은 Anthos Service Mesh 가격 책정에 포함되어 있습니다. CA 서비스는 기본 Anthos Service Mesh 가격에 포함되지 않습니다. CA 서비스는 미리보기 기간 동안 무료입니다.
이 가이드에서는 CA 서비스를 GKE에 새로 설치된 Anthos Service Mesh 1.10.6-asm.2과 통합하는 방법을 설명합니다.
CA 서비스 설정
Anthos Service Mesh와의 통합을 준비하기 위해 CA 서비스를 설정할 때 다음 사항을 따르는 것이 좋습니다.
- GKE 클러스터와 동일한 프로젝트에서 CA를 만듭니다.
- GKE 클러스터당 하나의 하위 CA를 설정합니다.
- 클러스터와 동일한 Google Cloud 리전에 하위 CA를 만듭니다.
CA 서비스 사용을 시작하려면 CA 서비스 빠른 시작을 참조하세요.
CA 서비스를 사용하도록 Anthos Service Mesh 구성
Anthos Service Mesh
kpt패키지를 다운로드합니다.kpt pkg get \ https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asmCA 서비스를 사용하여 워크로드 인증서를 만들 수 있는 권한을 Anthos Service Mesh에 부여합니다. 명령어의 자리표시자 값을 다음으로 바꿉니다.
SUB_CA_ID: 만든 하위 CA의 이름입니다.CA_LOCATION: 하위 CA가 생성된 위치입니다.PROJECT_ID: CA를 만든 프로젝트의 프로젝트 ID입니다.
gcloud beta privateca subordinates add-iam-policy-binding "SUB_CA_ID" \ --location="CA_LOCATION" \ --project="PROJECT_ID" \ --member="serviceAccount:PROJECT_ID.svc.id.goog[istio-system/istiod-service-account]" \ --role="roles/privateca.certificateManager"클러스터에 하위 CA를 사용하도록 Anthos Service Mesh
kpt패키지를 구성합니다. 다음 단계는asm/istio/options/private-ca.yaml파일을 수정합니다.CA 이름을 설정합니다.
kpt cfg set asm anthos.servicemesh.external_ca.ca_name projects/PROJECT_ID/locations/CA_LOCATION/certificateAuthorities/SUB_CA_ID프로젝트 ID를 설정합니다.
kpt cfg set asm gcloud.core.project PROJECT_ID
GKE에 Anthos Service Mesh 설치의 단계를 따라 Google에서 제공하는 스크립트를 사용하여 Anthos Service Mesh를 설치합니다. 스크립트를 실행할 때 다음 옵션을 포함합니다.
--option private-ca예를 들면 다음과 같습니다.
./install_asm \ --project_id PROJECT_ID \ --cluster_name CLUSTER_NAME \ --cluster_location CLUSTER_LOCATION \ --mode install \ --enable_all \ --option private-ca워크로드에서 자동 사이드카 프록시 자동 삽입을 사용 설정하려면 Anthos Service Mesh 설치를 완료합니다. 자세한 내용은 워크로드 배포 및 재배포를 참조하세요.