Certificate Authority Service für Managed Cloud Service Mesh konfigurieren

In diesem Leitfaden wird beschrieben, wie Sie den Certificate Authority Service für verwaltetes Cloud Service Mesh konfigurieren. Informationen zu Cloud Service Mesh innerhalb eines Clusters finden Sie unter Standardfeatures und Certificate Authority (CA) Service installieren.

Neben der Cloud Service Mesh-Zertifizierungsstelle können Sie Cloud Service Mesh auch für die Verwendung des Certificate Authority Service konfigurieren. Dieser Leitfaden bietet eine Möglichkeit zur Integration in CA Service, die für die folgenden Anwendungsfälle empfohlen wird:

  • Wenn Sie unterschiedliche CAs benötigen, um Arbeitslastzertifikate auf unterschiedlichen Clustern zu signieren.
  • Wenn Sie Ihre Signaturschlüssel in einem Cloud HSM sichern müssen.
  • Wenn Sie in einer stark regulierten Branche tätig sind und der Compliance unterliegen.
  • Wenn Sie Ihre Cloud Service Mesh-Zertifizierungsstelle mit einem benutzerdefinierten Unternehmensstammzertifikat verketten möchten, um Arbeitslast-Zertifikate zu signieren.

Die Kosten für die Cloud Service Mesh-Zertifizierungsstelle sind im Preis für Cloud Service Mesh inbegriffen. CA Service ist nicht im Basispreis für Cloud Service Mesh enthalten und wird separat in Rechnung gestellt. Darüber hinaus enthält CA Service ein explizites SLA, die Cloud Service Mesh-Zertifizierungsstelle jedoch nicht.

Vorbereitung

Sie sollten Folgendes bereits haben:

Voraussetzungen

Aktivieren Sie die erforderliche API in dem Projekt, in dem der CA-Pool konfiguriert wird.

 gcloud services enable privateca.googleapis.com \
      --project=CA_PROJECT_ID

CA Service konfigurieren

  1. Achten Sie darauf, dass sich der CA-Pool in der Stufe DevOps und in derselben Region wie der Cluster befindet, den er bedient, um übermäßige Latenzprobleme oder potenzielle regionenübergreifende Ausfälle zu vermeiden. Weitere Informationen finden Sie unter Arbeitslastoptimierte Stufen.
  2. Erstellen Sie den CA-Pool, um mindestens eine aktive Zertifizierungsstelle in diesem CA-Pool zu erhalten, die sich im selben Projekt wie der GKE-Cluster befindet. Verwenden Sie untergeordnete CAs, um Cloud Service Mesh-Arbeitslastzertifikate zu signieren. Notieren Sie sich den CA-Pool, der der untergeordneten Zertifizierungsstelle entspricht.

  3. Wenn nur Zertifikate für Cloud Service Mesh-Arbeitslasten signiert werden sollen, richten Sie die folgende Ausstellungsrichtlinie für den CA-Pool ein:

    policy.yaml

    baselineValues:
  keyUsage:
    baseKeyUsage:
      digitalSignature: true
      keyEncipherment: true
    extendedKeyUsage:
      serverAuth: true
      clientAuth: true
  caOptions:
    isCa: false
identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: subject_alt_names.all(san, san.type == URI && san.value.startsWith("spiffe://PROJECT_ID.svc.id.goog/ns/") )

  4. Mit dem folgenden Befehl können Sie die Ausstellungsrichtlinie des CA-Pools aktualisieren:

    gcloud privateca pools update CA_POOL --location ca_region --issuance-policy policy.yaml

    Informationen zum Festlegen einer Richtlinie für einen Pool finden Sie unter Zertifikatsausstellungsrichtlinie verwenden.

  5. Wenn Sie eine Zertifikatsvorlage verwenden, konfigurieren Sie diese jetzt. Weitere Informationen finden Sie im CA Service-Leitfaden für Workload Identity-Zertifikate. Die Zertifikatvorlage muss in derselben Region wie der CA-Pool erstellt werden. Wenn es mehrere Regionen für CA-Pools gibt, erstellen Sie eine Zertifikatvorlage pro Region.

Rollen, die für die Nutzung des CA-Dienstes erforderlich sind

Für diese Einbindung benötigen alle Arbeitslasten in Cloud Service Mesh die folgenden IAM-Rollen. Diese Rollenbindungen müssen für Cloud Service Mesh-Arbeitslasten explizit angewendet werden:

    WORKLOAD_IDENTITY="FLEET_PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project FLEET_PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.workloadCertificateRequester"

    gcloud privateca pools add-iam-policy-binding CA_POOL \
      --project FLEET_PROJECT_ID \
      --location ca_region \
      --member "group:${WORKLOAD_IDENTITY}" \
      --role "roles/privateca.auditor"

Zertifikatsvorlagen:

    gcloud privateca templates add-iam-policy-binding CERT_TEMPLATE_ID \
        --member "group:${WORKLOAD_IDENTITY}" \
        --role "roles/privateca.templateUser"

Beschränkungen

  • Konfigurieren und wählen Sie die Zertifizierungsstelle aus, bevor Sie die Cloud Service Mesh-Steuerungsebene bereitstellen. Das Ändern der Zertifizierungsstelle wird nicht unterstützt.

Verwaltetes Cloud Service Mesh für die Verwendung von CA Service konfigurieren

  1. Prüfen Sie, ob der Namespace istio-system vorhanden ist, oder erstellen Sie ihn, falls er fehlt:

      kubectl create ns istio-system

  2. Prüfen Sie, ob die ConfigMap asm-options im Namespace istio-system vorhanden ist:

      kubectl get configmap/asm-options -n istio-system

  3. Erstellen Sie die ConfigMap, falls sie noch nicht vorhanden ist:

      kubectl create configmap -n istio-system asm-options

  4. Patchen Sie die ConfigMap, um die CAS-Konfiguration hinzuzufügen:

      kubectl patch configmap/asm-options -n istio-system --type merge \
  -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/CA_PROJECT_ID/locations/ca_region/caPools/CA_POOL"}}'

    Wenn eine Zertifikatsvorlage erforderlich ist, hängen Sie die Vorlagen-ID mit : als Trennzeichen an die CA-Pooladresse an:

      kubectl patch configmap/asm-options -n istio-system --type merge \
  -p '{"data":{"ASM_OPTS": "CA=PRIVATECA;CAAddr=projects/CA_PROJECT_ID/locations/ca_region/caPools/CA_POOL:projects/PROJECT_ID/locations/ca_region/certificateTemplates/CERT_TEMPLATE_ID"}}'

Nachdem Sie die Konfigurationsschritte ausgeführt haben, fahren Sie mit der Installation des verwalteten Cloud Service Mesh fort, indem Sie die automatische Verwaltung aktivieren.