Red Hat Summit4.2. cert-manager のインストール
istio-csr をデプロイし、次に istio-csr エージェントを使用してワークロードとコントロールプレーンの証明書署名要求を処理する Istio リソースを作成して、cert-manager を OpenShift Service Mesh と統合できます。この例では、自己署名の Issuer を作成しますが、代わりに他の Issuer を使用することもできます。
Istio リソースをインストールする前に、cert-manager をインストールする必要があります。
手順
次のコマンドを実行して、
istio-systemnamespace を作成します。$ oc create namespace istio-systemYAML ファイルに
Issuerオブジェクトを作成して、ルート発行者を作成します。次の例のような
Issuerオブジェクトを作成します。issuer.yamlファイルの例apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: selfsigned namespace: istio-system spec: selfSigned: {} --- apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: istio-ca namespace: istio-system spec: isCA: true duration: 87600h # 10 years secretName: istio-ca commonName: istio-ca privateKey: algorithm: ECDSA size: 256 subject: organizations: - cluster.local - cert-manager issuerRef: name: selfsigned kind: Issuer group: cert-manager.io --- apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: istio-ca namespace: istio-system spec: ca: secretName: istio-ca ---次のコマンドを実行してオブジェクトを作成します。
$ oc apply -f issuer.yaml次のコマンドを実行して、
istio-ca証明書に "Ready" というステータスの状態が含まれるまで待ちます。$ oc wait --for=condition=Ready certificates/istio-ca -n istio-system
istio-ca証明書をcert-managernamespace にコピーして、istio-csr で使用できるようにします。次のコマンドを実行して、シークレットをローカルファイルにコピーします。
$ oc get -n istio-system secret istio-ca -o jsonpath='{.data.tls\.crt}' | base64 -d > ca.pem次のコマンドを実行して、
cert-managernamespace のローカル証明書ファイルからシークレットを作成します。$ oc create secret generic -n cert-manager istio-root-ca --from-file=ca.pem=ca.pem
次のステップ
istio-csr をインストールするには、必要な更新ストラテジーの種類に応じた istio-csr インストール手順に従う必要があります。デフォルトでは、Istio リソースを作成してインストールするときに、spec.updateStrategy は InPlace に設定されます。istio-csr をインストールした後、Istio リソースを作成してインストールします。
4.2.1. インプレース更新ストラテジーを使用して istio-csr エージェントをインストールする
Istio リソースは、デフォルトでインプレース更新ストラテジーを使用します。Istio リソースを作成してインストールするときに spec.updateStrategy を InPlace のままにしておく場合は、この手順に従ってください。
手順
次のコマンドを実行して、Jetstack チャートリポジトリーをローカル Helm リポジトリーに追加します。
$ helm repo add jetstack https://charts.jetstack.io --force-update次のコマンドを実行して
istio-csrチャートをインストールします。$ helm upgrade cert-manager-istio-csr jetstack/cert-manager-istio-csr \ --install \ --namespace cert-manager \ --wait \ --set "app.tls.rootCAFile=/var/run/secrets/istio-csr/ca.pem" \ --set "volumeMounts[0].name=root-ca" \ --set "volumeMounts[0].mountPath=/var/run/secrets/istio-csr" \ --set "volumes[0].name=root-ca" \ --set "volumes[0].secret.secretName=istio-root-ca" \ --set "app.istio.namespace=istio-system"
次のステップ
4.2.2. リビジョンベースの更新ストラテジーを使用して istio-csr エージェントをインストールする
Istio リソースは、デフォルトでインプレース更新ストラテジーを使用します。Istio リソースを作成してインストールするときに spec.updateStrategy を RevisionBased に変更する予定の場合は、この手順に従ってください。
手順
-
istio-csrデプロイメントにすべての Istio リビジョンを指定します。「istio-csr デプロイメント」を参照してください。 次のコマンドを実行して、Jetstack チャートをローカル Helm リポジトリーに追加します。
$ helm repo add jetstack https://charts.jetstack.io --force-update次のコマンドを実行して、リビジョン名で
istio-csrチャートをインストールします。$ helm upgrade cert-manager-istio-csr jetstack/cert-manager-istio-csr \ --install \ --namespace cert-manager \ --wait \ --set "app.tls.rootCAFile=/var/run/secrets/istio-csr/ca.pem" \ --set "volumeMounts[0].name=root-ca" \ --set "volumeMounts[0].mountPath=/var/run/secrets/istio-csr" \ --set "volumes[0].name=root-ca" \ --set "volumes[0].secret.secretName=istio-root-ca" \ --set "app.istio.namespace=istio-system" \ --set "app.istio.revisions={default-v1-24-3}"注記リビジョン名は、
<istio-name>-v<major_version>-<minor_version>-<patch_version>という形式を使用します。例:default-v1-24-3
関連情報
次のステップ
4.2.3. Istio リソースのインストール
インプレースまたはリビジョンベースの更新ストラテジーの手順に従って istio-csr をインストールした後、Istio リソースをインストールできます。
Istio の組み込み CA サーバーを無効にし、istio-csr CA サーバーを使用するように istiod に指示する必要があります。istio-csr CA サーバーは、istiod とユーザーワークロードの両方に対して証明書を発行します。
手順
次の例に示すように、
Istioオブジェクトを作成します。istio.yamlオブジェクトの例apiVersion: sailoperator.io/v1 kind: Istio metadata: name: default spec: version: v1.24.3 namespace: istio-system values: global: caAddress: cert-manager-istio-csr.cert-manager.svc:443 pilot: env: ENABLE_CA_SERVER: "false"注記リビジョンベースの更新ストラテジーを使用して CSR エージェントをインストールした場合は、
Istioオブジェクト YAML に以下を追加する必要があります。kind: Istio metadata: name: default spec: updateStrategy: type: RevisionBased次のコマンドを実行して
Istioリソースを作成します。$ oc apply -f istio.yaml次のコマンドを実行して、
Istioオブジェクトの準備が整うまで待ちます。$ oc wait --for=condition=Ready istios/default -n istio-system
4.2.4. cert-manager のインストールの確認
サンプルの httpbin サービスと sleep アプリケーションを使用して、ワークロード間の通信を確認できます。プロキシーのワークロード証明書をチェックして、cert-manager ツールが正しくインストールされていることを確認することもできます。
手順
次のコマンドを実行して
samplenamespace を作成します。$ oc new-project sample次のコマンドを実行して、アクティブな Istio リビジョンを見つけます。
$ oc get istios default -o jsonpath='{.status.activeRevisionName}'次のコマンドを実行して、アクティブなリビジョンのインジェクションラベルを
samplenamespace に追加します。$ oc label namespace sample istio.io/rev=<your-active-revision-name> --overwrite=true次のコマンドを実行して、サンプル
httpbinサービスをデプロイします。$ oc apply -n sample -f https://raw.githubusercontent.com/openshift-service-mesh/istio/refs/heads/master/samples/httpbin/httpbin.yaml次のコマンドを実行して、サンプルの
sleepアプリケーションをデプロイします。$ oc apply -n sample -f https://raw.githubusercontent.com/openshift-service-mesh/istio/refs/heads/master/samples/sleep/sleep.yaml次のコマンドを実行して、両方のアプリケーションの準備が完了するまで待ちます。
$ oc rollout status -n sample deployment httpbin sleep次のコマンドを実行して、
sleepアプリケーションがhttpbinサービスにアクセスできることを確認します。$ oc exec "$(oc get pod -l app=sleep -n sample \ -o jsonpath={.items..metadata.name})" -c sleep -n sample -- \ curl http://httpbin.sample:8000/ip -s -o /dev/null \ -w "%{http_code}\n"成功した出力の例
200次のコマンドを実行して、
httpbinサービスのワークロード証明書を出力し、その出力を確認します。$ istioctl proxy-config secret -n sample $(oc get pods -n sample -o jsonpath='{.items..metadata.name}' --selector app=httpbin) -o json | jq -r '.dynamicActiveSecrets[0].secret.tlsCertificate.certificateChain.inlineBytes' | base64 --decode | openssl x509 -text -noout出力例
... Issuer: O = cert-manager + O = cluster.local, CN = istio-ca ... X509v3 Subject Alternative Name: URI:spiffe://cluster.local/ns/sample/sa/httpbin
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}