与 Istio 的外部 CA 集成解释 - Lin Sun & Josh van Leeuwen

IstioCon外部CA与Istio的集成解释

Istio默认证书颁发机制

• Istio默认使用自签名根CA，工作负载证书默认24小时后过期，12小时内轮换。
• 信任分配流程中，Istio-agent向Istiod发送CSR请求以获取私钥签名，工作负载私钥永不离开机器。
• 可通过试点代理程序操作SECRET_GRACE_PERIOD_RATIO（默认0.5）。

自定义CA集成

• 可通过MeshConfig为Istio CA插入自定义证书，包括cacerts和MeshConfig共存。
• 自定义CA配置需通过MeshConfig，包括caCerticates、caKey、certChain和rootCert。
• 自定义CA证书需填充到istio-system命名空间下的cacerts Secret中，并由istiod读取。

RA与CA角色

• 注册机构(RA)批准请求，证书颁发机构(CA)签署工作负载证书，Istiod默认同时担任RA和CA角色。
• Kubernetes CSR集成中，若集群不存在私钥，Kubernetes CA或其他自定义CA可充当CA，Istiod作为RA。

Kubernetes CSR流程

• 服务A请求CSR，Istiod创建CSR并批准请求，Kubernetes CA签署请求，Istiod使用签名证书响应服务。
• 使用Kubernetes控制平面信任域存在问题，具有证书管理器的Kubernetes CSR流程类似。

istio-csr方案

• istio-csr充当RA，证书管理器充当CA，KMS或PCA，Istiod不作为RA或CA，支持大量发行人。
• istio-csr流程包括服务A请求CSR，Istiod创建并批准CSR，证书管理器签署请求，Istiod使用签名证书响应。

替代方案：SPIRE集成

• 安装Istio、cert-manager、Vault颁发者和istio-csr，配置Vault为CA，安装bookinfo应用。
• SPIRE服务器充当CA，固定为istio v1.14版本，测试工作负载并发布SPIFFE身份(SVID)。

方案对比

• 自签名(默认)：易开始，默认值/插件，自签名无保护根/中间，Kubernetes CSR，有限发行人支持，可注销群集。
• istio-csr：大量发行人支持，Istiod证书存储在秘密中，签名发生在SPIRE服务器，不支持Istio 1.13或之前，潜在更强通过硬件/云身份证明，进入spire生态系统。