Istio Vault CA 集成

    • 创建一个新的 Kubernetes 集群以运行本教程中的示例。
    • 使用 Helm 安装 Istio 启用 SDS 和向节点代理发送证书签名请求来测试 Vault CA :

    本教程中使用的测试 Vault 服务器的 IP 地址为 。配置 global.proxy.excludeIPRanges ="35.233.249.249/32" 将测试 Vault 服务器的 IP 地址列入白名单,以便 Envoy 不会拦截从 Node Agent 到 Vault 的流量。

    1. env:
    2. - name: CA_ADDR
    3. - name: CA_PROVIDER
    5. - name: "VAULT_ADDR"
    6.   value: "https://35.233.249.249:8200"
    7. - name: "VAULT_AUTH_PATH"
    8.   value: "auth/kubernetes/login"
    9. - name: "VAULT_ROLE"
    10.   value: "istio-cert"
    11.   value: "istio_ca/sign/istio-pki-role"

    本节部署测试工作负载 httpbin。当测试工作负载的 sidecar 通过 SDS 请求证书时,Node Agent 将向 Vault 发送证书签名请求。

    • 生成示例 httpbin 后端的部署:
    • 部署示例后端:
    1. $ kubectl apply -f httpbin-injected.yaml
    • 列出节点代理的 pod:
    • 查看每个节点代理的日志。驻留在与测试工作负载相同的节点上的节点代理将包含与 Vault 相关的日志。
    1. $ kubectl logs -n istio-system THE-POD-NAME-FROM-PREVIOUS-COMMAND
    • 因为在此示例中,Vault 未配置为从 httpbin 工作负载接受 Kubernetes JWT 服务帐户,您应该看到 Vault 使用以下日志拒绝签名请求:

    完成本教程后,您可以删除在本教程开头创建的测试集群。