Este tutorial te muestra un ejemplo completo, de principio a fin, para integrar una Autoridad Certificadora (CA) de Vault con un Istio multicluster, algo muy útil cuando necesitas emitir certificados para workloads dentro de la malla.
La integración nativa entre Vault CA e Istio dejó de tener soporte a partir de Istio 1.3. Sin embargo, por fin es posible lograrlo integrando Istio con el issuer de cert-manager para Vault y el agente Istio-CSR de cert-manager.
Diseño general de la solución
Pasos para la configuración:
Desplegar un cluster de Hashicorp Vault en Cloud Run
Crear los clusters de GKE
Conectar los clusters de GKE con el cluster de Vault en Cloud Run (Vault externo)
Configurar el motor de secretos PKI de Vault
Desplegar Cert Manager
Instalar el istio-csr de Cert Manager
Instalar Istio en modo multicluster
Desplegar la aplicación HelloWorld
Verificar el tráfico entre clusters y los certificados de los workloads
Código del tutorial
Encuentras las instrucciones paso a paso de este tutorial aquí:
Referencias
- Código de la implementación — https://github.com/palimarium/istio-vault-ca
- Configurar Vault como Certificate Manager en Kubernetes — https://learn.hashicorp.com/tutorials/vault/kubernetes-cert-manager
- Istio CSR de cert-manager — https://github.com/cert-manager/istio-csr
¡Felicitaciones por completar este tutorial a fondo! Ya cuentas con una CA segura y lista para producción que emite certificados y claves para todos tus workloads de Istio en la malla.