Questo tutorial propone un esempio end-to-end completo per integrare una Certificate Authority (CA) Vault con Istio in configurazione multicluster, utile quando occorre emettere certificati per i workloads nella mesh.
L'integrazione nativa tra Istio e Vault CA non è più supportata a partire dalla release Istio 1.3. Tuttavia, è finalmente possibile ottenere lo stesso risultato integrando Istio con il cert-manager issuer for Vault e l'agente cert-manager Istio-CSR.
Architettura della soluzione: una panoramica
I passaggi per il setup
Deploy del cluster Hashicorp Vault su Cloud Run
Creazione dei cluster GKE
Connessione dei cluster GKE al cluster Vault su Cloud Run (Vault esterno)
Configurazione del secrets engine PKI di Vault
Deploy di Cert Manager
Installazione di Cert Manager istio-csr
Installazione di Istio multicluster
Deploy dell'applicazione HelloWorld
Verifica del traffico cross-cluster e dei certificati dei workloads
Il codice del tutorial
Le istruzioni passo passo di questo tutorial sono disponibili qui:
Riferimenti
- Codice di implementazione — https://github.com/palimarium/istio-vault-ca
- Configurare Vault come Certificate Manager in Kubernetes — https://learn.hashicorp.com/tutorials/vault/kubernetes-cert-manager
- Cert-manager Istio CSR — https://github.com/cert-manager/istio-csr
Complimenti per aver portato a termine questo tutorial di implementazione approfondito. Ora ha a disposizione una CA sicura e production-ready per emettere certificati e chiavi per tutti i suoi workloads Istio nella mesh.