本チュートリアルでは、Vault認証局(CA)をマルチクラスタIstioと連携させる手順を、エンドツーエンドで解説します。メッシュ内のワークロードに証明書を発行したい場合に有用な構成です。
Istio 1.3以降、ネイティブなIstio Vault CA連携はサポートされなくなりました。しかし、cert-manager issuer for Vaultとcert-manager Istio-CSRエージェントを介してIstioと統合することで、ついに実現できるようになりました。
ソリューションの全体構成
セットアップ手順
Cloud RunにHashicorp Vaultクラスタをデプロイ
GKEクラスタを作成
GKEクラスタをCloud Run上のVaultクラスタ(External Vault)に接続
Vault PKIシークレットエンジンを設定
Cert Managerをデプロイ
Cert Manager istio-csrをインストール
マルチクラスタIstioをインストール
HelloWorldアプリケーションをデプロイ
クラスタ間トラフィックとワークロード証明書を検証
チュートリアルのコード
本チュートリアルの詳細な手順は、以下のリポジトリで公開しています。
参考資料
- 実装コード — https://github.com/palimarium/istio-vault-ca
- KubernetesでVaultを証明書マネージャーとして設定する — https://learn.hashicorp.com/tutorials/vault/kubernetes-cert-manager
- Cert-manager Istio CSR — https://github.com/cert-manager/istio-csr
実装チュートリアルはこれで完了です。お疲れさまでした。これで、メッシュ内のIstioワークロードに証明書と鍵を発行できる、本番運用レベルのセキュアなCAが整いました。