Certificate Authority Service für verwaltetes Cloud Service Mesh konfigurieren

In dieser Anleitung wird beschrieben, wie Sie den Certificate Authority Service für verwaltetes Cloud Service Mesh konfigurieren. Informationen zu In-Cluster-Cloud Service Mesh finden Sie unter Standardfunktionen und Certificate Authority (CA) Service installieren.

Neben der Cloud Service Mesh-Zertifizierungsstelle können Sie Cloud Service Mesh auch für die Verwendung von Certificate Authority Service konfigurieren. Dieser Leitfaden bietet eine Möglichkeit zur Integration in CA Service, die für die folgenden Anwendungsfälle empfohlen wird:

• Wenn Sie unterschiedliche CAs benötigen, um Arbeitslastzertifikate auf unterschiedlichen Clustern zu signieren.
• Wenn Sie Ihre Signaturschlüssel in einem verwalteten HSM sichern müssen.
• Wenn Sie in einer stark regulierten Branche tätig sind und der Compliance unterliegen.
• Wenn Sie Ihre Cloud Service Mesh-Zertifizierungsstelle mit einem benutzerdefinierten Unternehmensstammzertifikat verketten möchten, um Arbeitslast-Zertifikate zu signieren.

Die Kosten für die Cloud Service Mesh-Zertifizierungsstelle sind im Preis für Cloud Service Mesh enthalten. CA Service ist nicht im Basispreis für Cloud Service Mesh enthalten und wird separat in Rechnung gestellt. Darüber hinaus enthält CA Service ein explizites SLA, die Cloud Service Mesh-Zertifizierungsstelle jedoch nicht.

Voraussetzungen

Aktivieren Sie die erforderliche API in dem Projekt, in dem der CA-Pool konfiguriert wird.

 gcloud services enable privateca.googleapis.com \
      --project=CA_PROJECT_ID

CA Service konfigurieren

1. Achten Sie darauf, dass sich der CA-Pool in der Stufe DevOps und in derselben Region wie der Cluster befindet, den er bedient, um übermäßige Latenzprobleme oder potenzielle regionenübergreifende Ausfälle zu vermeiden. Weitere Informationen finden Sie unter Arbeitslastoptimierte Stufen.
2. Erstellen Sie den CA-Pool, um mindestens eine aktive Zertifizierungsstelle in diesem CA-Pool zu erhalten, die sich im selben Projekt wie der GKE-Cluster befindet. Verwenden Sie untergeordnete CAs, um Cloud Service Mesh-Arbeitslastzertifikate zu signieren. Notieren Sie sich den CA-Pool, der der untergeordneten Zertifizierungsstelle entspricht.

3. Wenn nur Zertifikate für Cloud Service Mesh-Arbeitslasten signiert werden sollen, richten Sie die folgende Ausstellungsrichtlinie für den CA-Pool ein:

   policy.yaml

   baselineValues:
     keyUsage:
       baseKeyUsage:
         digitalSignature: true
         keyEncipherment: true
       extendedKeyUsage:
         serverAuth: true
         clientAuth: true
     caOptions:
       isCa: false
   identityConstraints:
     allowSubjectPassthrough: false
     allowSubjectAltNamesPassthrough: true
     celExpression:
       expression: subject_alt_names.all(san, san.type == URI && san.value.startsWith("spiffe://PROJECT_ID.svc.id.goog/ns/") )
   

4. Mit dem folgenden Befehl können Sie die Ausstellungsrichtlinie des CA-Pools aktualisieren:

   gcloud privateca pools update CA_POOL --location ca_region --issuance-policy policy.yaml
   

   Informationen zum Festlegen einer Richtlinie für einen Pool finden Sie unter Zertifikatsausstellungsrichtlinie verwenden.

5. Wenn Sie eine Zertifikatsvorlage verwenden, konfigurieren Sie diese jetzt. Weitere Informationen finden Sie im CA Service-Leitfaden für Workload Identity-Zertifikate. Die Zertifikatvorlage muss in derselben Region wie der CA-Pool erstellt werden. Wenn es mehrere Regionen für CA-Pools gibt, erstellen Sie eine Zertifikatvorlage pro Region.

Rollen, die für die Verwendung des CA Service erforderlich sind

Für diese Einbindung benötigen alle Arbeitslasten in Cloud Service Mesh die folgenden IAM-Rollen. Diese Rollenbindungen müssen explizit für Cloud Service Mesh-Arbeitslasten angewendet werden:

    WORKLOAD_IDENTITY="FLEET_PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project FLEET_PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.workloadCertificateRequester"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project FLEET_PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.auditor"

Wenn Sie Zertifikatsvorlagen verwenden:

    gcloud privateca templates add-iam-policy-binding CERT_TEMPLATE_ID \
        --member "group:${WORKLOAD_IDENTITY}" \
        --role "roles/privateca.templateUser"

Beschränkungen

• Konfigurieren und wählen Sie die Zertifizierungsstelle aus, bevor Sie die Cloud Service Mesh-Steuerungsebene bereitstellen. Das Ändern der Zertifizierungsstelle wird nicht unterstützt.

Verwaltetes Cloud Service Mesh für die Verwendung von CA Service konfigurieren

1. Prüfen Sie, ob der Namespace istio-system vorhanden ist, oder erstellen Sie ihn, falls er fehlt:

     kubectl create ns istio-system
   

2. Prüfen Sie, ob die ConfigMap asm-options im Namespace istio-system vorhanden ist:

     kubectl get configmap/asm-options -n istio-system
   

3. Erstellen Sie die ConfigMap, falls sie nicht vorhanden ist:

     kubectl create configmap -n istio-system asm-options
   

4. Patchen Sie die ConfigMap, um die CAS-Konfiguration hinzuzufügen:

     kubectl patch configmap/asm-options -n istio-system --type merge \
     -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/CA_PROJECT_ID/locations/ca_region/caPools/CA_POOL"}}'
   

   Wenn eine Zertifikatsvorlage erforderlich ist, hängen Sie die Vorlagen-ID mit : als Trennzeichen an die CA-Pool-Adresse an:

     kubectl patch configmap/asm-options -n istio-system --type merge \
     -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/CA_PROJECT_ID/locations/ca_region/caPools/CA_POOL:projects/PROJECT_ID/locations/ca_region/certificateTemplates/CERT_TEMPLATE_ID"}}'
   

Nachdem Sie die Konfigurationsschritte abgeschlossen haben, fahren Sie mit der Installation von verwaltetem Cloud Service Mesh fort, indem Sie die automatische Verwaltung aktivieren.