Este tutorial traz um exemplo completo, de ponta a ponta, de como integrar uma Certificate Authority (CA) do Vault a um Istio multicluster — útil quando você precisa emitir certificados para workloads no mesh.
A integração nativa do Istio com a Vault CA deixou de ser suportada a partir da versão 1.3 do Istio. Mesmo assim, finalmente dá para fazer isso integrando o Istio ao cert-manager issuer for Vault e ao agente cert-manager Istio-CSR.
Visão geral da solução
Passo a passo da configuração:
Subir o Hashicorp Vault Cluster no Cloud Run
Criar os clusters GKE
Conectar os clusters GKE ao Vault Cluster no Cloud Run (External Vault)
Configurar o Vault PKI secrets engine
Instalar o Cert Manager
Instalar o cert-manager istio-csr
Instalar o Istio multicluster
Subir a aplicação HelloWorld
Validar o tráfego entre clusters e os certificados dos workloads
Código do tutorial
O passo a passo deste tutorial está disponível aqui:
Referências
- Código da implementação — https://github.com/palimarium/istio-vault-ca
- Configurar o Vault como Certificate Manager no Kubernetes — https://learn.hashicorp.com/tutorials/vault/kubernetes-cert-manager
- Cert-manager Istio CSR — https://github.com/cert-manager/istio-csr
Parabéns por chegar até o fim deste tutorial detalhado. Agora você tem uma CA segura e pronta para produção, capaz de emitir certificados e chaves para todos os seus workloads Istio no mesh.