Dieses Tutorial führt Sie an einem vollständigen End-to-End-Beispiel durch die Integration einer Vault Certificate Authority (CA) in ein Multicluster-Istio – ideal, wenn Sie Zertifikate für Workloads im Mesh ausstellen wollen.
Seit Istio 1.3 wird die native Vault-CA-Integration nicht mehr unterstützt. Mittlerweile ist es aber wieder möglich – über die Anbindung von Istio an den cert-manager Issuer für Vault sowie den cert-manager Istio-CSR-Agent.
Lösungsdesign im Überblick
Setup-Schritte
Hashicorp Vault Cluster auf Cloud Run bereitstellen
GKE-Cluster anlegen
GKE-Cluster mit dem Vault Cluster auf Cloud Run verbinden (External Vault)
Vault PKI Secrets Engine konfigurieren
Cert Manager bereitstellen
Cert Manager istio-csr installieren
Multicluster-Istio installieren
HelloWorld-Anwendung deployen
Cluster-übergreifenden Traffic und Workload-Zertifikate prüfen
Code zum Tutorial
Die Schritt-für-Schritt-Anleitung zu diesem Tutorial finden Sie hier:
Weiterführende Links
- Implementierungscode — https://github.com/palimarium/istio-vault-ca
- Vault als Certificate Manager in Kubernetes konfigurieren — https://learn.hashicorp.com/tutorials/vault/kubernetes-cert-manager
- Cert-manager Istio CSR — https://github.com/cert-manager/istio-csr
Glückwunsch – Sie haben dieses ausführliche Implementierungs-Tutorial gemeistert. Damit steht Ihnen eine sichere, produktionsreife CA zur Verfügung, die Zertifikate und Schlüssel für sämtliche Istio-Workloads in Ihrem Mesh bereitstellt.