Ce tutoriel propose un exemple complet, de bout en bout, pour intégrer une autorité de certification (CA) Vault à un Istio multicluster — pratique lorsqu'il s'agit d'émettre des certificats pour les workloads du mesh.
L'intégration native entre Istio et la CA Vault n'est plus prise en charge depuis la version 1.3 d'Istio. Bonne nouvelle : c'est enfin possible en couplant Istio à l'issuer cert-manager pour Vault et à l'agent cert-manager Istio-CSR.
Vue d'ensemble de la solution
Étapes de mise en place
Déployer le cluster Hashicorp Vault sur Cloud Run
Créer les clusters GKE
Connecter les clusters GKE au cluster Vault sur Cloud Run (External Vault)
Configurer le moteur de secrets PKI de Vault
Déployer Cert Manager
Installer Cert Manager istio-csr
Installer Istio en multicluster
Déployer l'application HelloWorld
Vérifier le trafic inter-clusters et les certificats des workloads
Code du tutoriel
Retrouvez les instructions pas à pas de ce tutoriel ici :
Références
- Code d'implémentation — https://github.com/palimarium/istio-vault-ca
- Configurer Vault comme Certificate Manager dans Kubernetes — https://learn.hashicorp.com/tutorials/vault/kubernetes-cert-manager
- Cert-manager Istio CSR — https://github.com/cert-manager/istio-csr
Félicitations, vous voilà au bout de ce tutoriel d'implémentation détaillé. Vous disposez désormais d'une CA sécurisée et prête pour la production, capable de provisionner certificats et clés pour l'ensemble de vos workloads Istio dans le mesh.