Configurare la sicurezza del servizio con gRPC proxyless

Questa guida mostra come configurare un servizio di sicurezza per il mesh di servizi gRPC senza proxy.

Requisiti

Prima di configurare la sicurezza del servizio per la mesh di servizi gRPC senza proxy, assicurati di soddisfare i seguenti requisiti.

• Il deployment soddisfa i requisiti indicati in Preparati a configurare le API di routing dei servizi con Envoy e i carichi di lavoro proxyless.
• Devi utilizzare xDS v3.
• Hai accesso alla funzionalità richiesta per la versione xDS e il fornitore di certificati con una delle seguenti lingue:
  • gRPC Java
  • gRPC C++
  • gRPC Python
  • gRPC Go Puoi trovare le versioni della lingua richieste su GitHub.
• Hai accesso al generatore di bootstrap, versione 0.16.0. L'immagine del generatore bootstrap si trova nel Google Cloud repository dei container.
• Soddisfi tutti i prerequisiti per il bilanciamento del carico della mesh di servizi gRPC senza proxy.
• Disponi delle autorizzazioni sufficienti per creare o aggiornare le risorse Cloud Service Mesh e Google Cloud service mesh per utilizzare la sicurezza PSM. Per informazioni complete sulle autorizzazioni richieste, consulta Prepararsi a configurare Cloud Service Mesh con servizi gRPC proxyless.
• Disponi delle autorizzazioni necessarie per utilizzare Certificate Authority Service, descritte in Creare autorità di certificazione per emettere certificati

Configura Identity and Access Management

Devi disporre delle autorizzazioni richieste per utilizzare Google Kubernetes Engine. Come minimo, devi disporre dei seguenti ruoli:

• Ruolo GKE roles/container.clusterAdmin
• roles/compute.instanceAdmin Ruolo Compute Engine
• Ruolo roles/iam.serviceAccountUser

Per creare le risorse necessarie per la configurazione, devi disporre del ruolo compute.NetworkAdmin. Questo ruolo contiene tutte le autorizzazioni necessarie per creare, aggiornare, eliminare, elencare e utilizzare (ovvero fare riferimento a questa risorsa in altre risorse) le risorse richieste. Se sei il proprietario-editor del progetto, questo ruolo ti viene assegnato automaticamente.

Tieni presente che networksecurity.googleapis.com.clientTlsPolicies.use e networksecurity.googleapis.com.serverTlsPolicies.use non vengono applicati quando fai riferimento a queste risorse nella risorsa del servizio di backend.

Se questa impostazione verrà applicata in futuro e utilizzi il ruolo compute.NetworkAdmin, non noterai alcun problema quando questo controllo verrà applicato.

Se utilizzi ruoli personalizzati e questo controllo verrà applicato in futuro, devi assicurarti di includere la rispettiva autorizzazione .use. In caso contrario, in futuro potresti scoprire che il tuo ruolo personalizzato non dispone delle autorizzazioni necessarie per fare riferimento a clientTlsPolicy o serverTlsPolicy dal servizio di backend.

Prepararsi alla configurazione

La sicurezza della mesh di servizi senza proxy (PSM) aggiunge sicurezza a una mesh di servizi configurata per il bilanciamento del carico in base alla documentazione sui servizi gRPC senza proxy. In un mesh di servizi senza proxy, un client gRPC utilizza lo schema xds: nell'URI per accedere al servizio, il che consente le funzionalità di bilanciamento del carico e rilevamento degli endpoint PSM.

Aggiorna i client e i server gRPC alla versione corretta

Crea o ricompila le tue applicazioni utilizzando la versione minima supportata di gRPC per il tuo linguaggio.

Aggiorna il file di bootstrap

Le applicazioni gRPC utilizzano un singolo file di bootstrap, che deve contenere tutti i campi richiesti dal codice lato client e server gRPC. Un generatore bootstrap genera automaticamente il file bootstrap per includere i flag e i valori necessari per la sicurezza PSM. Per ulteriori informazioni, consulta la sezione File bootstrap, che include un file bootstrap di esempio.

Panoramica della configurazione

Questa procedura di configurazione è un'estensione della configurazione di Cloud Service Mesh con GKE e servizi gRPC proxyless. I passaggi esistenti e non modificati di questa procedura di configurazione vengono citati ovunque si applichino.

I principali miglioramenti alla configurazione di Cloud Service Mesh con GKE sono i seguenti:

1. Configurazione di CA Service, in cui crei pool di CA privati e le autorità di certificazione richieste.
2. Creazione di un cluster GKE con le funzionalità di federazione delle identità per i carichi di lavoro per GKE e certificati mesh e l'integrazione del servizio CA.
3. Configurazione dell'emissione dei certificati mesh sul cluster.
4. Creazione dei service account client e server.
5. Configurazione del server di esempio che utilizza le API xDS e le credenziali del server xDS per acquisire la configurazione di sicurezza da Cloud Service Mesh.
6. Configurazione del client di esempio che utilizza le credenziali xDS.
7. Aggiornamento della configurazione di Cloud Service Mesh per includere la configurazione di sicurezza.

Puoi visualizzare esempi di codice per l'utilizzo delle credenziali xDS nelle seguenti posizioni:

• Java.
• C++
• Go
• Python

Aggiorna Google Cloud CLI

Per aggiornare Google Cloud CLI, esegui questo comando:

gcloud components update

Imposta le variabili di ambiente

In questa guida, utilizzi i comandi di Cloud Shell e le informazioni ripetute nei comandi sono rappresentate da varie variabili di ambiente. Imposta i tuoi valori specifici per le seguenti variabili di ambiente nell'ambiente shell prima di eseguire i comandi. Ogni riga di commento indica il significato della variabile di ambiente associata.

# Your project ID
PROJECT_ID=PROJECT_ID

# GKE cluster name and zone for this example.
CLUSTER_NAME=CLUSTER_NAME
ZONE=ZONE
gcloud config set compute/zone $ZONE

# GKE cluster URL derived from the above
GKE_CLUSTER_URL="https://container.googleapis.com/v1/projects/${PROJECT_ID}/locations/${ZONE}/clusters/${CLUSTER_NAME}"

# Workload pool to be used with the GKE cluster
WORKLOAD_POOL="${PROJECT_ID}.svc.id.goog"

# Kubernetes namespace to run client and server demo.
K8S_NAMESPACE='default'
DEMO_BACKEND_SERVICE_NAME='grpc-gke-helloworld-service'

# Compute other values
# Project number for your project
PROJNUM=$(gcloud projects describe ${PROJECT_ID} --format="value(projectNumber)")

# VERSION is the GKE cluster version. Install and use the most recent version
# from the rapid release channel and substitute its version for
# CLUSTER_VERSION, for example:
# VERSION=latest available version
# Note that the minimum required cluster version is 1.21.4-gke.1801.
VERSION="CLUSTER_VERSION"
SA_GKE=service-${PROJNUM}@container-engine-robot.iam.gserviceaccount.com

Abilitare l'accesso alle API richieste

Questa sezione spiega come abilitare l'accesso alle API necessarie.

1. Esegui questo comando per abilitare Cloud Service Mesh e altre API necessarie per la sicurezza della mesh di servizi gRPC senza proxy.

   gcloud services enable \
       container.googleapis.com \
       cloudresourcemanager.googleapis.com \
       compute.googleapis.com \
       trafficdirector.googleapis.com \
       networkservices.googleapis.com \
       networksecurity.googleapis.com \
       privateca.googleapis.com \
       gkehub.googleapis.com
   

2. Esegui questo comando per consentire all'account di servizio predefinito di accedere all'API Cloud Service Mesh Security.

   GSA_EMAIL=$(gcloud iam service-accounts list --format='value(email)' \
       --filter='displayName:Compute Engine default service account')
   
   gcloud projects add-iam-policy-binding ${PROJECT_ID} \
     --member serviceAccount:${GSA_EMAIL} \
      --role roles/trafficdirector.client
   

Crea o aggiorna un cluster GKE

La sicurezza del servizio Cloud Service Mesh dipende dall'integrazione di CA Service con GKE. Il cluster GKE deve soddisfare i seguenti requisiti, oltre a quelli per la configurazione:

• Utilizza una versione del cluster minima di 1.21.4-gke.1801. Se hai bisogno di funzionalità presenti in una versione successiva, puoi ottenere questa versione dal canale di rilascio rapido.
• Il cluster GKE deve essere abilitato e configurato con i certificati mesh, come descritto in Creazione di autorità di certificazione per l'emissione di certificati.

1. Crea un nuovo cluster che utilizzi Workload Identity Federation for GKE. Se stai aggiornando un cluster esistente, vai al passaggio successivo. Il valore che fornisci per --tags deve corrispondere al nome passato al flag --target-tags per il comando firewall-rules create nella sezione Configurazione di Cloud Service Mesh cCloud Load Balancinggle Cloud.

   # Create a GKE cluster with GKE managed mesh certificates.
   gcloud container clusters create CLUSTER_NAME \
     --release-channel=rapid \
     --scopes=cloud-platform \
     --image-type=cos_containerd \
     --machine-type=e2-standard-2 \
     --zone=ZONE \
     --workload-pool=PROJECT_ID.svc.id.goog \
     --enable-mesh-certificates \
     --cluster-version=CLUSTER_VERSION \
     --enable-ip-alias \
     --tags=allow-health-checks \
     --workload-metadata=GKE_METADATA
   

   La creazione del cluster potrebbe richiedere diversi minuti.

2. Se utilizzi un cluster esistente, attiva Workload Identity Federation for GKE e i certificati mesh GKE. Assicurati che il cluster sia stato creato con il flag --enable-ip-alias, che non può essere utilizzato con il comando update.

   gcloud container clusters update CLUSTER_NAME \
     --enable-mesh-certificates
   

3. Esegui questo comando per passare al nuovo cluster come cluster predefinito per i comandi kubectl:

   gcloud container clusters get-credentials CLUSTER_NAME \
     --zone ZONE
   

Registra i cluster in un parco risorse

Registra il cluster che hai creato o aggiornato in Creazione di un cluster GKE con un parco risorse. La registrazione del cluster semplifica la configurazione dei cluster in più progetti.

Tieni presente che il completamento di ciascuno di questi passaggi può richiedere fino a 10 minuti.

1. Registra il cluster nel parco risorse:

   gcloud container fleet memberships register CLUSTER_NAME \
     --gke-cluster=ZONE/CLUSTER_NAME \
     --enable-workload-identity --install-connect-agent \
     --manifest-output-file=MANIFEST-FILE_NAME
   

   Sostituisci le variabili in questo modo:

   • CLUSTER_NAME: il nome del tuo cluster.
   • ZONE: la zona del cluster.
   • MANIFEST-FILE_NAME: il percorso in cui questi comandi generano il manifest per la registrazione.

   Al termine della procedura di registrazione, viene visualizzato un messaggio simile al seguente:

   Finished registering the cluster CLUSTER_NAME with the fleet.

2. Applica il file manifest generato al tuo cluster:

   kubectl apply -f MANIFEST-FILE_NAME
   

   Quando la procedura di richiesta va a buon fine, vengono visualizzati messaggi come il seguente:

   namespace/gke-connect created
   serviceaccount/connect-agent-sa created
   podsecuritypolicy.policy/gkeconnect-psp created
   role.rbac.authorization.k8s.io/gkeconnect-psp:role created
   rolebinding.rbac.authorization.k8s.io/gkeconnect-psp:rolebinding created
   role.rbac.authorization.k8s.io/agent-updater created
   rolebinding.rbac.authorization.k8s.io/agent-updater created
   role.rbac.authorization.k8s.io/gke-connect-agent-20210416-01-00 created
   clusterrole.rbac.authorization.k8s.io/gke-connect-impersonation-20210416-01-00 created
   clusterrolebinding.rbac.authorization.k8s.io/gke-connect-impersonation-20210416-01-00 created
   clusterrolebinding.rbac.authorization.k8s.io/gke-connect-feature-authorizer-20210416-01-00 created
   rolebinding.rbac.authorization.k8s.io/gke-connect-agent-20210416-01-00 created
   role.rbac.authorization.k8s.io/gke-connect-namespace-getter created
   rolebinding.rbac.authorization.k8s.io/gke-connect-namespace-getter created
   secret/http-proxy created
   deployment.apps/gke-connect-agent-20210416-01-00 created
   service/gke-connect-monitoring created
   secret/creds-gcp create
   

3. Recupera la risorsa di appartenenza dal cluster:

   kubectl get memberships membership -o yaml
   

   L'output deve includere il pool di identità del workload assegnato al parco risorse, dove PROJECT_ID è l'ID progetto:

   workload_identity_pool: PROJECT_ID.svc.id.goog
   

   Ciò significa che la registrazione del cluster è riuscita.

Crea autorità di certificazione per emettere certificati

Per emettere certificati per i tuoi pod, crea un pool CA Service e le seguenti autorità di certificazione (CA):

• CA radice. Questa è la radice di attendibilità per tutti i certificati mesh emessi. Puoi utilizzare una CA radice esistente, se ne hai una. Crea la CA radice nel livello enterprise, progettato per l'emissione di certificati di lunga durata e a basso volume.
• CA subordinata. Questa CA emette certificati per i carichi di lavoro. Crea la CA subordinata nella regione in cui è implementato il cluster. Crea la CA subordinata nel livello devops, che è destinato all'emissione di certificati di breve durata e in grandi volumi.

La creazione di una CA subordinata è facoltativa, ma ti consigliamo vivamente di crearne una anziché utilizzare la CA radice per emettere certificati mesh GKE. Se decidi di utilizzare la CA radice per emettere certificati mesh, assicurati che la modalità di emissione basata sulla configurazione predefinita rimanga consentita.

La CA subordinata può trovarsi in una regione diversa dal cluster, ma consigliamo vivamente di crearla nella stessa regione del cluster per ottimizzare le prestazioni. Tuttavia, puoi creare le CA radice e subordinate in regioni diverse senza alcun impatto su prestazioni o disponibilità.

Queste regioni sono supportate per CA Service:

L'elenco delle località supportate può essere controllato anche eseguendo questo comando:

gcloud privateca locations list

1. Concedi il ruolo IAM roles/privateca.caManager alle persone che creano un pool di CA e una CA. Tieni presente che per MEMBER il formato corretto è user:userid@example.com. Se questa persona è l'utente attuale, puoi ottenere l'ID utente attuale con il comando shell $(gcloud auth list --filter=status:ACTIVE --format="value(account)").

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=MEMBER \
     --role=roles/privateca.caManager
   

2. Concedi il ruolo role/privateca.admin per CA Service alle persone che devono modificare i criteri IAM, dove MEMBER è una persona che ha bisogno di questo accesso, in particolare, qualsiasi persona che esegue i passaggi successivi che concedono i ruoli privateca.auditor e privateca.certificateManager:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=MEMBER \
     --role=roles/privateca.admin
   

3. Crea il pool di CA radice del servizio CA.

   gcloud privateca pools create ROOT_CA_POOL_NAME \
     --location ROOT_CA_POOL_LOCATION \
     --tier enterprise
   

4. Crea una CA radice.

   gcloud privateca roots create ROOT_CA_NAME --pool ROOT_CA_POOL_NAME \
     --subject "CN=ROOT_CA_NAME, O=ROOT_CA_ORGANIZATION" \
     --key-algorithm="ec-p256-sha256" \
     --max-chain-length=1 \
     --location ROOT_CA_POOL_LOCATION
   

   Per questa configurazione dimostrativa, utilizza i seguenti valori per le variabili:

   • ROOT_CA_POOL_NAME=td_sec_pool
   • ROOT_CA_NAME=pkcs2-ca
   • ROOT_CA_POOL_LOCATION=us-east1
   • ROOT_CA_ORGANIZATION="TestCorpLLC"

5. Crea il pool subordinato e la CA subordinata. Assicurati che la modalità di emissione basata sulla configurazione predefinita rimanga consentita.

   gcloud privateca pools create SUBORDINATE_CA_POOL_NAME \
     --location SUBORDINATE_CA_POOL_LOCATION \
     --tier devops
   

   gcloud privateca subordinates create SUBORDINATE_CA_NAME \
     --pool SUBORDINATE_CA_POOL_NAME \
     --location SUBORDINATE_CA_POOL_LOCATION \
     --issuer-pool ROOT_CA_POOL_NAME \
     --issuer-location ROOT_CA_POOL_LOCATION \
     --subject "CN=SUBORDINATE_CA_NAME, O=SUBORDINATE_CA_ORGANIZATION" \
     --key-algorithm "ec-p256-sha256" \
     --use-preset-profile subordinate_mtls_pathlen_0
   

   Per questa configurazione dimostrativa, utilizza i seguenti valori per le variabili:

   • SUBORDINATE_CA_POOL_NAME="td-ca-pool"
   • SUBORDINATE_CA_POOL_LOCATION=us-east1
   • SUBORDINATE_CA_NAME="td-ca"
   • SUBORDINATE_CA_ORGANIZATION="TestCorpLLC"
   • ROOT_CA_POOL_NAME=td_sec_pool
   • ROOT_CA_POOL_LOCATION=us-east1

6. Concedi il ruolo IAM privateca.auditor per il pool di CA radice per consentire l'accesso dalaccount di serviziot GKE:

   gcloud privateca pools add-iam-policy-binding ROOT_CA_POOL_NAME \
    --location ROOT_CA_POOL_LOCATION \
    --role roles/privateca.auditor \
    --member="serviceAccount:service-PROJNUM@container-engine-robot.iam.gserviceaccount.com"
   

7. Concedi il ruolo IAM privateca.certificateManager per il pool di CA subordinate per consentire l'accesso dal account di servizio GKE:

   gcloud privateca pools add-iam-policy-binding SUBORDINATE_CA_POOL_NAME \
     --location SUBORDINATE_CA_POOL_LOCATION \
     --role roles/privateca.certificateManager \
     --member="serviceAccount:service-PROJNUM@container-engine-robot.iam.gserviceaccount.com"
   

8. Salva la seguente configurazione YAML WorkloadCertificateConfig per indicare al tuo cluster come emettere certificati mesh:

   apiVersion: security.cloud.google.com/v1
   kind: WorkloadCertificateConfig
   metadata:
     name: default
   spec:
     # Required. The CA service that issues your certificates.
     certificateAuthorityConfig:
       certificateAuthorityServiceConfig:
         endpointURI: ISSUING_CA_POOL_URI
   
     # Required. The key algorithm to use. Choice of RSA or ECDSA.
     #
     # To maximize compatibility with various TLS stacks, your workloads
     # should use keys of the same family as your root and subordinate CAs.
     #
     # To use RSA, specify configuration such as:
     #   keyAlgorithm:
     #     rsa:
     #       modulusSize: 4096
     #
     # Currently, the only supported ECDSA curves are "P256" and "P384", and the only
     # supported RSA modulus sizes are 2048, 3072 and 4096.
     keyAlgorithm:
       rsa:
         modulusSize: 4096
   
     # Optional. Validity duration of issued certificates, in seconds.
     #
     # Defaults to 86400 (1 day) if not specified.
     validityDurationSeconds: 86400
   
     # Optional. Try to start rotating the certificate once this
     # percentage of validityDurationSeconds is remaining.
     #
     # Defaults to 50 if not specified.
     rotationWindowPercentage: 50
   
   

   Sostituisci quanto segue:

   • L'ID del progetto in cui viene eseguito il cluster:

     PROJECT_ID

   • L'URI completo della CA che emette i certificati mesh (ISSUING_CA_POOL_URI). Può trattarsi della CA subordinata (opzione consigliata) o della CA radice. Il formato è:

     //privateca.googleapis.com/projects/PROJECT_ID/locations/SUBORDINATE_CA_POOL_LOCATION/caPools/SUBORDINATE_CA_POOL_NAME

9. Salva la seguente configurazione YAML TrustConfig per indicare al cluster come considerare attendibili i certificati emessi:

   apiVersion: security.cloud.google.com/v1
   kind: TrustConfig
   metadata:
     name: default
   spec:
     # You must include a trustStores entry for the trust domain that
     # your cluster is enrolled in.
     trustStores:
     - trustDomain: PROJECT_ID.svc.id.goog
       # Trust identities in this trustDomain if they appear in a certificate
       # that chains up to this root CA.
       trustAnchors:
       - certificateAuthorityServiceURI: ROOT_CA_POOL_URI
   

   Sostituisci quanto segue:

   • L'ID del progetto in cui viene eseguito il cluster:

     PROJECT_ID

   • L'URI completo del pool di CA radice (ROOT_CA_POOL_URI). Il formato è:

     //privateca.googleapis.com/projects/PROJECT_ID/locations/ROOT_CA_POOL_LOCATION/caPools/ROOT_CA_POOL_NAME

10. Applica le configurazioni al cluster:

    kubectl apply -f WorkloadCertificateConfig.yaml
    kubectl apply -f TrustConfig.yaml
    

Crea un servizio gRPC proxyless con NEG

Per la sicurezza PSM, è necessario un server gRPC proxyless in grado di utilizzare xDS per acquisire la configurazione di sicurezza da Cloud Service Mesh. Questo passaggio è simile alla configurazione dei servizi GKE con i NEG nella guida alla configurazione del bilanciamento del carico PSM, ma utilizzi il server helloworld abilitato per xDS nell'esempio xDS nel repository grpc-java anziché l'immagine java-example-hostname.

Crei ed esegui questo server in un container creato da un'immagine openjdk:8-jdk. Utilizzi anche la funzionalità NEG denominato, che ti consente di specificare un nome per il NEG. In questo modo si semplificano i passaggi successivi perché il deployment conosce il nome del NEG senza doverlo cercare.

Di seguito è riportato un esempio completo della specifica Kubernetes del server gRPC. Tieni presente quanto segue:

• La specifica crea un account di servizio Kubernetes example-grpc-server utilizzato dal pod del server gRPC.
• La specifica utilizza il campo name nell'annotazione cloud.google.com/neg del servizio per specificare il nome del NEG example-grpc-server.
• La variabile ${PROJNUM} rappresenta il numero di progetto del tuo progetto.
• La specifica utilizza la sezione initContainers per eseguire un generatore di bootstrap per compilare il file di bootstrap necessario alla libreria gRPC senza proxy. Questo file di bootstrap si trova in /tmp/grpc-xds/td-grpc-bootstrap.json nel contenitore del server gRPC denominato example-grpc-server.

Aggiungi la seguente annotazione alla specifica del pod:

 annotations:
   security.cloud.google.com/use-workload-certificates: ""

Puoi vedere il posizionamento corretto nelle specifiche complete riportate di seguito.

Al momento della creazione, a ogni pod viene assegnato un volume in /var/run/secrets/workload-spiffe-credentials. Questo volume contiene:

• private_key.pem è una chiave privata generata automaticamente.
• certificates.pem è un bundle di certificati in formato PEM che possono essere presentati a un altro pod come catena di certificati client o utilizzati come catena di certificati server.
• ca_certificates.pem è un bundle di certificati in formato PEM da utilizzare come ancore di attendibilità durante la convalida della catena di certificati client presentata da un altro pod o della catena di certificati server ricevuta durante la connessione a un altro pod.

Tieni presente che ca_certificates.pem contiene i certificati per il dominio di attendibilità locale per i workload, ovvero il pool di workload del cluster.

Il certificato foglia in certificates.pem contiene la seguente asserzione dell'identità SPIFFE in testo normale:

spiffe://WORKLOAD_POOL/ns/NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT

In questa asserzione:

• WORKLOAD_POOL è il nome del pool di workload del cluster.
• NAMESPACE è lo spazio dei nomi del account di servizio Kubernetes.
• KUBERNETES_SERVICE_ACCOUNT è il nome del tuo account di servizio Kubernetes.

Le seguenti istruzioni per la tua lingua creano la specifica da utilizzare in questo esempio.

1. Applica la specifica:

   kubectl apply -f example-grpc-server.yaml
   

2. Concedi i ruoli richiesti al account di servizio:

   gcloud iam service-accounts add-iam-policy-binding \
     --role roles/iam.workloadIdentityUser \
     --member "serviceAccount:${PROJECT_ID}.svc.id.goog[default/example-grpc-server]" \
     ${PROJNUM}-compute@developer.gserviceaccount.com
   
   gcloud projects add-iam-policy-binding ${PROJECT_ID} \
     --member "serviceAccount:${PROJECT_ID}.svc.id.goog[default/example-grpc-server]" \
     --role roles/trafficdirector.client
   

3. Esegui questi comandi per verificare che il servizio e il pod siano creati correttamente:

   kubectl get deploy/example-grpc-server
   kubectl get svc/example-grpc-server
   

4. Verifica che il nome del NEG sia corretto:

   gcloud compute network-endpoint-groups list \
       --filter "name=example-grpc-server" --format "value(name)"
   

   Il comando dovrebbe restituire il nome del NEG example-grpc-server.

Configura Cloud Service Mesh con i componenti di bilanciamento del carico Google Cloud

I passaggi descritti in questa sezione sono simili a quelli descritti in Configurazione di Cloud Service Mesh con componenti di bilanciamento del carico, ma sono presenti alcune modifiche, come descritto nelle sezioni seguenti.

Crea il controllo di integrità, la regola firewall e il servizio di backend

Quando il server gRPC è configurato per utilizzare mTLS, i controlli di integrità gRPC non funzionano perché il client di controllo di integrità non può presentare un certificato client valido ai server. Puoi risolvere il problema in due modi.

Nel primo approccio, il server crea una porta di pubblicazione aggiuntiva designata come porta di controllo di integrità. Questo è collegato a un servizio di controllo di integrità speciale, come testo normale o TLS a quella porta.

Il server di esempio xDS helloworld utilizza PORT_NUMBER + 1 come porta di controllo di integrità in testo normale. L'esempio utilizza 50052 come porta di controllo di integrità perché 50051 è la porta del server delle applicazioni gRPC.

Nel secondo approccio, configuri il controllo di integrità in modo che verifichi solo la connettività TCP alla porta di pubblicazione dell'applicazione. Questo controllo verifica solo la connettività e genera anche traffico non necessario verso il server quando si verificano handshake TLS non riusciti. Per questo motivo, ti consigliamo di utilizzare il primo approccio.

1. Crea il controllo di integrità. Tieni presente che il controllo di integrità non viene avviato finché non crei e avvii il server.

   • Se stai creando una porta di pubblicazione designata per il controllo di integrità, che è l'approccio che consigliamo, utilizza questo comando:

     gcloud compute health-checks create grpc grpc-gke-helloworld-hc \
      --enable-logging --port 50052
     

   • Se stai creando un controllo di integrità TCP, che non consigliamo, utilizza questo comando:

     gcloud compute health-checks create tcp grpc-gke-helloworld-hc \
     --use-serving-port
     

2. Crea il firewall. Assicurati che il valore di --target-tags corrisponda al valore che hai fornito per --tags nella sezione Crea o aggiorna un cluster GKE.

   gcloud compute firewall-rules create grpc-gke-allow-health-checks \
     --network default --action allow --direction INGRESS \
     --source-ranges 35.191.0.0/16,130.211.0.0/22 \
     --target-tags allow-health-checks \
     --rules tcp:50051-50052
   

3. Crea il servizio di backend:

   gcloud compute backend-services create grpc-gke-helloworld-service \
      --global \
      --load-balancing-scheme=INTERNAL_SELF_MANAGED \
      --protocol=GRPC \
      --health-checks grpc-gke-helloworld-hc
   

4. Collega il NEG al servizio di backend:

   gcloud compute backend-services add-backend grpc-gke-helloworld-service \
      --global \
      --network-endpoint-group example-grpc-server \
      --network-endpoint-group-zone ${ZONE} \
      --balancing-mode RATE \
      --max-rate-per-endpoint 5
   

Crea le risorse Mesh e GRPCRoute

Questa procedura è simile a quella per configurare le risorse Mesh e GRPCRoute in Configurazione dei servizi gRPC proxyless.

1. Crea la specifica Mesh e salvala in un file denominato mesh.yaml.

   name: grpc-mesh
   

2. Importa la risorsa Mesh dalla specifica.

   gcloud network-services meshes import grpc-mesh \
     --source=mesh.yaml \
     --location=global
   

3. Crea la specifica GRPCRoute e salvala in un file denominato grpc_route.yaml.

   name: helloworld-grpc-route
   hostnames:
   - helloworld-gke:8000
   meshes:
   - projects/PROJECT_NUMBER/locations/global/meshes/grpc-mesh
   rules:
   - action:
       destinations:
       - serviceName: projects/PROJECT_NUMBER/locations/global/backendServices/grpc-gke-helloworld-service
   

4. Importa la risorsa GRPCRoute dalla specifica grpc_route.yaml.

   gcloud network-services grpc-routes import helloworld-grpc-route \
     --source=grpc_route.yaml \
     --location=global
   

Configura Cloud Service Mesh con la sicurezza gRPC senza proxy

Questo esempio mostra come configurare mTLS sul lato client e server.

Formato per i riferimenti alle norme

Prendi nota del seguente formato obbligatorio per fare riferimento alle policy TLS server e TLS client:

projects/PROJECT_ID/locations/global/[serverTlsPolicies|clientTlsPolicies]/[server-tls-policy|client-mtls-policy]

Ad esempio:

projects/PROJECT_ID/locations/global/serverTlsPolicies/server-tls-policy

projects/PROJECT_ID/locations/global/clientTlsPolicies/client-mtls-policy

Configura mTLS lato server

Per prima cosa, crea una policy TLS del server. Il criterio chiede al lato server gRPC di utilizzare la configurazione del plug-in certificateProvicerInstance identificata dal nome google_cloud_private_spiffe per il certificato di identità, che fa parte di serverCertificate. La sezione mtlsPolicy indica la sicurezza mTLS e utilizza lo stesso google_cloud_private_spiffe della configurazione del plug-in per clientValidationCa, ovvero la specifica del certificato radice (di convalida).

Il passaggio successivo è creare un criterio endpoint. Specifica che un backend, ad esempio un server gRPC, che utilizza la porta 50051 con etichette di metadati qualsiasi o nessuna, riceve la policy TLS server allegata denominata server-mtls-policy. Specifica le etichette dei metadati utilizzando MATCH_ALL o un valore supportato. Le etichette dei metadati supportate sono disponibili nel campo endpointMatcher.metadataLabelMatcher.metadataLabelMatchCriteria del documento NetworkServicesEndpointPolicy. Crea la policy dell'endpoint con un file temporaneo ep-mtls-psms.yaml che contiene i valori per la risorsa della policy dell'endpoint utilizzando la policy che hai già definito.

1. Crea un file temporaneo server-mtls-policy.yaml nella directory attuale con i valori della risorsa della policy TLS del server:

   name: "projects/PROJECT_ID/locations/global/serverTlsPolicies/server-mtls-policy"
   serverCertificate:
     certificateProviderInstance:
       pluginInstance: google_cloud_private_spiffe
   mtlsPolicy:
     clientValidationCa:
     - certificateProviderInstance:
         pluginInstance: google_cloud_private_spiffe
   

2. Crea una risorsa policy TLS del server denominata server-mtls-policy importando il file temporaneo server-mtls-policy.yaml:

   gcloud network-security server-tls-policies import server-mtls-policy \
     --source=server-mtls-policy.yaml --location=global
   

3. Crea il criterio dell'endpoint creando il file temporaneo ep-mtls-psms.yaml:

   name: "ep-mtls-psms"
   type: "GRPC_SERVER"
   serverTlsPolicy: "projects/PROJECT_ID/locations/global/serverTlsPolicies/server-mtls-policy"
   trafficPortSelector:
     ports:
     - "50051"
   endpointMatcher:
     metadataLabelMatcher:
       metadataLabelMatchCriteria: "MATCH_ALL"
       metadataLabels:
       - labelName: app
         labelValue: helloworld
   

4. Crea la risorsa della policy dell'endpoint importando il file ep-mtls-psms.yaml:

   gcloud beta network-services endpoint-policies import ep-mtls-psms \
     --source=ep-mtls-psms.yaml --location=global
   

Configura mTLS sul lato client

Il criterio di sicurezza lato client è collegato al servizio di backend. Quando un client accede a un backend (il server gRPC) tramite il servizio di backend, al client vengono inviati i criteri di sicurezza lato client allegati.

1. Crea i contenuti della risorsa policy TLS del client in un file temporaneo denominato client-mtls-policy.yaml nella directory attuale:

   name: "client-mtls-policy"
   clientCertificate:
     certificateProviderInstance:
       pluginInstance: google_cloud_private_spiffe
   serverValidationCa:
   - certificateProviderInstance:
       pluginInstance: google_cloud_private_spiffe
   

2. Crea la risorsa policy TLS del client denominata client-mtls-policy importando il file temporaneo client-mtls-policy.yaml:

   gcloud network-security client-tls-policies import client-mtls-policy \
     --source=client-mtls-policy.yaml --location=global
   

3. Crea uno snippet in un file temporaneo per fare riferimento a questa policy e aggiungi i dettagli per subjectAltNames nel messaggio SecuritySettings come nell'esempio seguente. Sostituisci ${PROJECT_ID} con il valore dell'ID progetto, ovvero il valore della variabile di ambiente ${PROJECT_ID} descritta in precedenza. Tieni presente che example-grpc-server in subjectAltNames è il nome del service account Kubernetes utilizzato per il pod del server gRPC nella specifica di deployment.

   if [ -z "$PROJECT_ID" ] ; then echo Please make sure PROJECT_ID is set. ; fi
   cat << EOF > client-security-settings.yaml
   securitySettings:
     clientTlsPolicy: projects/${PROJECT_ID}/locations/global/clientTlsPolicies/client-mtls-policy
     subjectAltNames:
       - "spiffe://${PROJECT_ID}.svc.id.goog/ns/default/sa/example-grpc-server"
   EOF
   

4. Aggiungi il messaggio securitySettings al servizio di backend che hai già creato. Questi passaggi esportano i contenuti del servizio di backend corrente, aggiungono il messaggio securitySetting del client e reimportano i nuovi contenuti per aggiornare il servizio di backend.

   gcloud compute backend-services export grpc-gke-helloworld-service --global \
     --destination=/tmp/grpc-gke-helloworld-service.yaml
   
   cat /tmp/grpc-gke-helloworld-service.yaml client-security-settings.yaml \
     >/tmp/grpc-gke-helloworld-service1.yaml
   
   gcloud compute backend-services import grpc-gke-helloworld-service --global \
     --source=/tmp/grpc-gke-helloworld-service1.yaml -q
   

Verificare la configurazione

La configurazione di Cloud Service Mesh è ora completa, inclusa la sicurezza lato server e lato client. A questo punto, prepara ed esegui i carichi di lavoro del server e del client. L'esempio è completato.

Crea un client gRPC proxyless

Questo passaggio è simile al precedente Creazione di un servizio gRPC senza proxy. Utilizza il client helloworld abilitato per xDS dalla directory di esempio xDS nel repository grpc-java. Crei ed esegui il client in un container creato da un'immagine openjdk:8-jdk. La specifica Kubernetes del client gRPC esegue le seguenti operazioni.

• Crea un account di servizio Kubernetes example-grpc-client utilizzato dal pod client gRPC.
• ${PROJNUM} rappresenta il numero di progetto del tuo progetto e deve essere sostituito con il numero effettivo.

Aggiungi la seguente annotazione alla specifica del pod:

  annotations:
    security.cloud.google.com/use-workload-certificates: ""

Al momento della creazione, a ogni pod viene assegnato un volume in /var/run/secrets/workload-spiffe-credentials. Questo volume contiene:

• private_key.pem è una chiave privata generata automaticamente.
• certificates.pem è un bundle di certificati in formato PEM che possono essere presentati a un altro pod come catena di certificati client o utilizzati come catena di certificati server.
• ca_certificates.pem è un bundle di certificati in formato PEM da utilizzare come ancore di attendibilità durante la convalida della catena di certificati client presentata da un altro pod o della catena di certificati server ricevuta durante la connessione a un altro pod.

Tieni presente che ca_certificates.pem contiene i certificati root per il dominio di attendibilità locale per i carichi di lavoro, ovvero il pool di workload del cluster.

Il certificato foglia in certificates.pem contiene la seguente asserzione dell'identità SPIFFE in testo normale:

spiffe://WORKLOAD_POOL/ns/NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT

In questa asserzione:

• WORKLOAD_POOL è il nome del pool di workload del cluster.
• NAMESPACE è il nome del tuo account di servizio Kubernetes.
• KUBERNETES_SERVICE_ACCOUNT è lo spazio dei nomi del tuo account di servizio Kubernetes.

Le seguenti istruzioni per la tua lingua creano la specifica da utilizzare in questo esempio.

Completa la procedura come segue.

1. Applica la specifica:

   kubectl apply -f example-grpc-client.yaml
   

2. Concedi i ruoli richiesti al account di servizio:

   gcloud iam service-accounts add-iam-policy-binding \
     --role roles/iam.workloadIdentityUser \
     --member "serviceAccount:${PROJECT_ID}.svc.id.goog[default/example-grpc-client]" \
     ${PROJNUM}-compute@developer.gserviceaccount.com
   
   gcloud projects add-iam-policy-binding ${PROJECT_ID} \
     --member "serviceAccount:${PROJECT_ID}.svc.id.goog[default/example-grpc-client]" \
     --role roles/trafficdirector.client
   

3. Verifica che il pod client sia in esecuzione:

   kubectl get pods
   

   Il comando restituisce un testo simile al seguente:

   NAMESPACE   NAME                                    READY   STATUS    RESTARTS   AGE
   default     example-grpc-client-7c969bb997-9fzjv    1/1     Running   0          104s
   [..skip..]
   

Esegui il server

Crea ed esegui il server helloworld abilitato per xDS nel pod server che hai creato in precedenza.

Il processo di controllo di integrità richiede da 3 a 5 minuti per mostrare che il servizio è integro dopo l'avvio del server.

Esegui il client e verifica la configurazione

Crea ed esegui il client helloworld abilitato per xDS nel pod client che hai creato in precedenza.

Configura l'accesso a livello di servizio con una policy di autorizzazione

Per il supporto dei criteri di autorizzazione è necessario il supporto di gRFC A41. Puoi trovare le versioni linguistiche richieste su GitHub.

Utilizza queste istruzioni per configurare l'accesso a livello di servizio con criteri di autorizzazione. Prima di creare criteri di autorizzazione, leggi l'avviso in Limitare l'accesso utilizzando l'autorizzazione.

Per semplificare la verifica della configurazione, crea un nome host aggiuntivo che il client possa utilizzare per fare riferimento al servizio helloworld-gke.

1. Aggiorna la specifica GRPCRoute precedentemente archiviata in grpc_route.yaml

   name: helloworld-grpc-route
   hostnames:
   - helloworld-gke:8000
   - helloworld-gke-noaccess:8000
   meshes:
   - projects/PROJECT_NUMBER/locations/global/meshes/grpc-mesh
   rules:
   - action:
       destinations:
       - serviceName: projects/PROJECT_NUMBER/locations/global/backendServices/grpc-gke-helloworld-service
   

2. Importa di nuovo la risorsa GRPCRoute dalla specifica grpc_route.yaml.

   gcloud network-services grpc-routes import helloworld-grpc-route \
     --source=grpc_route.yaml \
     --location=global
   

Le seguenti istruzioni creano una policy di autorizzazione che consente le richieste inviate dall'account example-grpc-client in cui il nome host è helloworld-gke:8000 e la porta è 50051.

Convalida il criterio di autorizzazione

Segui queste istruzioni per verificare che i criteri di autorizzazione funzionino correttamente.

Utilizzare TLS anziché mTLS

L'utilizzo di TLS in questo esempio richiede solo una piccola modifica.

1. In ServerTlsPolicy, rilascia mtlsPolicy:

   cat << EOF > server-tls-policy.yaml
   name: "server-tls-policy"
   serverCertificate:
     certificateProviderInstance:
       pluginInstance: google_cloud_private_spiffe
   EOF
   

2. Utilizza questa policy in EndpointPolicy:

   cat << EOF > ep-tls-psms.yaml
   name: "ep-mtls-psms"
   type: "GRPC_SERVER"
   serverTlsPolicy: "projects/${PROJECT_ID}/locations/global/serverTlsPolicies/server-tls-policy"
   trafficPortSelector:
     ports:
     - "50051"
   endpointMatcher:
     metadataLabelMatcher:
       metadataLabelMatchCriteria: "MATCH_ALL"
       metadataLabels: []
   EOF
   

3. ClientTlsPolicy per mTLS funziona anche nel caso di TLS, ma la sezione clientCertificate del criterio può essere eliminata perché non è necessaria per TLS:

   cat << EOF > client-tls-policy.yaml
   name: "client-tls-policy"
   serverValidationCa:
   - certificateProviderInstance:
       pluginInstance: google_cloud_private_spiffe
   EOF
   

Utilizzare la sicurezza del servizio con l'esempio di Wallet

Questa sezione fornisce una panoramica generale su come attivare l'esempio di Wallet con la sicurezza del servizio per Java, C++ e Go.

File di bootstrap

La procedura di configurazione descritta in questa guida utilizza un generatore di bootstrap per creare il file di bootstrap richiesto. Questa sezione fornisce informazioni di riferimento sul file bootstrap stesso.

Il file di bootstrap contiene le informazioni di configurazione richieste dal codice gRPC senza proxy, incluse le informazioni di connessione per il server xDS. Il file di bootstrap contiene la configurazione di sicurezza richiesta dalla funzionalità di sicurezza gRPC senza proxy. Il server gRPC richiede un campo aggiuntivo. Un file bootstrap di esempio ha il seguente aspetto:

{
  "xds_servers": [
    {
      "server_uri": "trafficdirector.googleapis.com:443",
      "channel_creds": [
        {
          "type": "google_default"
        }
      ],
      "server_features": [
        "xds_v3"
      ]
    }
  ],
  "authorities": {
    "traffic-director-c2p.xds.googleapis.com": {
      "xds_servers": [
        {
          "server_uri": "dns:///directpath-pa.googleapis.com",
          "channel_creds": [
            {
              "type": "google_default"
            }
          ],
          "server_features": [
            "xds_v3",
            "ignore_resource_deletion"
          ]
        }
      ],
      "client_listener_resource_name_template": "xdstp://traffic-director-c2p.xds.googleapis.com/envoy.config.listener.v3.Listener/%s"
    }
  },
  "node": {
    "id": "projects/9876012345/networks/mesh:grpc-mesh/nodes/b59f49cc-d95a-4462-9126-112f794d5dd3",
    "cluster": "cluster",
    "metadata": {
      "INSTANCE_IP": "10.28.2.8",
      "TRAFFICDIRECTOR_DIRECTPATH_C2P_IPV6_CAPABLE": true,
      "TRAFFICDIRECTOR_GCP_PROJECT_NUMBER": "223606568246",
      "TRAFFICDIRECTOR_NETWORK_NAME": "default",
      "app": "helloworld"
    },
    "locality": {
      "zone": "us-central1-c"
    }
  },
  "certificate_providers": {
    "google_cloud_private_spiffe": {
      "plugin_name": "file_watcher",
      "config": {
        "certificate_file": "/var/run/secrets/workload-spiffe-credentials/certificates.pem",
        "private_key_file": "/var/run/secrets/workload-spiffe-credentials/private_key.pem",
        "ca_certificate_file": "/var/run/secrets/workload-spiffe-credentials/ca_certificates.pem",
        "refresh_interval": "600s"
      }
    }
  },
  "server_listener_resource_name_template": "grpc/server?xds.resource.listening_address=%s"
}

Aggiornamenti al file di bootstrap per il servizio di sicurezza

I seguenti campi riflettono le modifiche relative alla sicurezza e all'utilizzo di xDS v3:

Il campo id all'interno di node fornisce un'identità univoca per il client gRPC a Cloud Service Mesh. Devi fornire il numero di progetto e il nome della rete utilizzando l'ID nodo in questo formato: Google Cloud

projects/{project number}/networks/{network name}/nodes/[UNIQUE_ID]

Un esempio per il progetto numero 1234 e la rete predefinita è:

projects/1234/networks/default/nodes/client1

Il campo INSTANCE_IP è l'indirizzo IP del pod o 0.0.0.0 per indicare INADDR_ANY. Questo campo viene utilizzato dal server gRPC per recuperare la risorsa Listener da Cloud Service Mesh per la sicurezza lato server.

Campi di configurazione della sicurezza nel file bootstrap

I contenuti della struttura JSON config per il plug-in file_watcher sono:

• certificate_file: stringa obbligatoria. Questo valore è la posizione del certificato di identità.
• private_key_file: stringa obbligatoria. Il valore è la posizione del file della chiave privata, che deve corrispondere al certificato di identità.
• ca_certificate_file: stringa obbligatoria. Il valore è la posizione del certificato root, noto anche come bundle di attendibilità.
• refresh_interval: stringa facoltativa. Il valore indica l'intervallo di aggiornamento, specificato utilizzando la rappresentazione stringa del mapping JSON di una durata. Il valore predefinito è "600s", una durata di 10 minuti.

Generatore di bootstrap

L'immagine container del generatore di bootstrap è disponibile all'indirizzo gcr.io/trafficdirector-prod/td-grpc-bootstrap:0.16.0. Il suo codice sorgente è disponibile all'indirizzo https://github.com/GoogleCloudPlatform/traffic-director-grpc-bootstrap. Le opzioni della riga di comando più utilizzate sono le seguenti:

• --output: utilizza questa opzione per specificare la posizione in cui viene scritto il file bootstrap di output, ad esempio il comando --output /tmp/bootstrap/td-grpc-bootstrap.json genera il file bootstrap in /tmp/bootstrap/td-grpc-bootstrap.json nel file system del pod.
• --config-mesh-experimental: utilizza questa opzione per specificare il nome della mesh, corrispondente alla risorsa Mesh.
• --node-metadata: utilizza questo flag per compilare i metadati del nodo nel file di bootstrap. Questo è necessario quando utilizzi i selettori di corrispondenza delle etichette dei metadati in EndpointPolicy, dove Cloud Service Mesh utilizza i dati delle etichette forniti nella sezione dei metadati del nodo del file di bootstrap. L'argomento viene fornito nel formato chiave=valore, ad esempio: --node-metadata version=prod --node-metadata type=grpc

Le informazioni precedenti aggiungono quanto segue nella sezione dei metadati del nodo del file bootstrap:

{
  "node": {
...
    "metadata": {
      "version": "prod",
      "type": "grpc",
...
    },
...
  },
...
}

Elimina il deployment

Puoi eseguire questi comandi facoltativi per eliminare il deployment creato utilizzando questa guida.

Per eliminare il cluster, esegui questo comando:

gcloud container clusters delete CLUSTER_NAME --zone ZONE --quiet

Per eliminare le risorse che hai creato, esegui questi comandi:

gcloud compute backend-services delete grpc-gke-helloworld-service --global --quiet
gcloud compute network-endpoint-groups delete example-grpc-server --zone ZONE --quiet
gcloud compute firewall-rules delete grpc-gke-allow-health-checks --quiet
gcloud compute health-checks delete grpc-gke-helloworld-hc --quiet
gcloud network-services endpoint-policies delete ep-mtls-psms \
    --location=global --quiet
gcloud network-security authorization-policies delete helloworld-gke-authz-policy \
   --location=global --quiet
gcloud network-security client-tls-policies delete client-mtls-policy \
    --location=global --quiet
gcloud network-security server-tls-policies delete server-tls-policy \
    --location=global --quiet
gcloud network-security server-tls-policies delete server-mtls-policy \
    --location=global --quiet

Risoluzione dei problemi

Segui queste istruzioni per risolvere i problemi relativi all'implementazione della sicurezza.

I carichi di lavoro non sono in grado di ottenere la configurazione da Cloud Service Mesh

Se visualizzi un errore simile a questo:

PERMISSION_DENIED: Request had insufficient authentication scopes.

Verifica quanto segue:

• Hai creato il cluster GKE con l'argomento --scopes=cloud-platform argument.
• Hai assegnato roles/trafficdirector.client ai tuoi account di servizio Kubernetes.
• Hai assegnato il roles/trafficdirector.client al tuo service account Google Cloud predefinito (${GSA_EMAIL} sopra).
• Hai abilitato il servizio (API) trafficdirector.googleapis.com.

Il server gRPC non utilizza TLS/mTLS anche con la configurazione corretta di Cloud Service Mesh

Assicurati di specificare GRPC_SERVER nella configurazione dei criteri degli endpoint. Se hai specificato SIDECAR_PROXY, gRPC ignora la configurazione.

Non puoi creare il cluster GKE con la versione del cluster richiesta

Il comando di creazione del cluster GKE potrebbe non riuscire con un errore simile a questo:

Node version "1.20.5-gke.2000" is unsupported.

Assicurati di utilizzare l'argomento --release-channel rapid nel comando di creazione del cluster. Devi utilizzare il canale di rilascio rapido per ottenere la versione corretta per questa release.

Visualizzi un errore No usable endpoint

Se un client non riesce a comunicare con il server a causa di un errore No usable endpoint, il controllo di integrità potrebbe aver contrassegnato i backend del server come non integri. Per controllare l'integrità dei backend, esegui questo comando gcloud:

gcloud compute backend-services get-health grpc-gke-helloworld-service --global

Se il comando restituisce lo stato del backend non integro, il motivo potrebbe essere uno dei seguenti:

• Il firewall non è stato creato o non contiene l'intervallo IP di origine corretto.
• I tag di destinazione sul firewall non corrispondono ai tag del cluster che hai creato.

I carichi di lavoro non possono comunicare nella configurazione della sicurezza

Se i tuoi carichi di lavoro non riescono a comunicare dopo aver configurato la sicurezza per la tuamesh di servizih proxyless, segui queste istruzioni per determinare la causa.

1. Disattiva la sicurezza senza proxy ed elimina i problemi negli scenari di utilizzo del bilanciamento del carico del service mesh senza proxy. Per disattivare la sicurezza nella mesh, esegui una delle seguenti operazioni:
   1. Utilizza credenziali di testo normale lato client e server OPPURE
   2. non configurare la sicurezza per il servizio di backend e il criterio endpoint nella configurazione di Cloud Service Mesh.

Segui i passaggi descritti in Risoluzione dei problemi relativi ai deployment di Cloud Service Mesh senza proxy, perché non è presente alcuna configurazione di sicurezza nel tuo deployment.

1. Modifica i tuoi workload in modo che utilizzino le credenziali xDS con testo normale o credenziali non sicure come credenziali di riserva. Mantieni la configurazione di Cloud Service Mesh con la sicurezza disattivata, come descritto in precedenza. In questo caso, anche se gRPC consente a Cloud Service Mesh di configurare la sicurezza, Cloud Service Mesh non invia informazioni di sicurezza, nel qual caso gRPC deve eseguire il failover alle credenziali di testo normale (o non sicure), che dovrebbero funzionare in modo simile al primo caso precedente. Se questo caso non funziona, procedi nel seguente modo:

   1. Aumenta il livello di logging sia sul lato client che su quello server in modo da poter visualizzare i messaggi xDS scambiati tra gRPC e Cloud Service Mesh.
   2. Assicurati che Cloud Service Mesh non abbia la sicurezza abilitata nelle risposte CDS e LDS inviate ai carichi di lavoro.
   3. Assicurati che i workload non utilizzino le modalità TLS o mTLS nei canali. Se visualizzi messaggi di log relativi agli handshake TLS, controlla il codice sorgente dell'applicazione e assicurati di utilizzare credenziali non sicure o in testo normale come credenziali di riserva. Se il codice sorgente dell'applicazione è corretto, potrebbe trattarsi di un bug nella libreria gRPC

2. Verifica che l'integrazione di CA Service con GKE funzioni correttamente per il tuo cluster GKE seguendo la procedura di risoluzione dei problemi descritta in questa guida utente. Assicurati che i certificati e le chiavi forniti da questa funzionalità siano disponibili nella directory specificata, /var/run/secrets/workload-spiffe-credentials/.

3. Attiva TLS (anziché mTLS) nella mesh, come descritto in precedenza, e riavvia i carichi di lavoro client e server.

   1. Aumenta il livello di logging sia sul lato client che su quello server per poter visualizzare i messaggi xDS scambiati tra gRPC e Cloud Service Mesh.
   2. Assicurati che Cloud Service Mesh abbia attivato la sicurezza nelle risposte CDS e LDS inviate ai carichi di lavoro.

Il client non riesce a connettersi con un CertificateException e un messaggio Peer certificate SAN check failed

Ciò indica un problema con i valori subjectAltNames nel messaggio SecuritySettings. Tieni presente che questi valori si basano sui servizi Kubernetes che hai creato per il tuo servizio di backend. Per ogni servizio Kubernetes che hai creato, esiste un ID SPIFFE associato, in questo formato:

spiffe://${WORKLOAD_POOL}/ns/${K8S_NAMESPACE}/sa/${SERVICE_ACCOUNT}

Questi valori sono:

• WORKLOAD_POOL: Il pool di workload per il cluster, che è ${PROJECT_ID}.svc.id.goog
• K8S_NAMESPACE: lo spazio dei nomi Kubernetes che hai utilizzato nel deployment del servizio
• SERVICE_ACCOUNT: il account di servizio Kubernetes utilizzato nel deployment del servizio

Per ogni servizio Kubernetes collegato al servizio di backend come gruppo di endpoint di rete, assicurati di aver calcolato correttamente l'ID SPIFFE e di averlo aggiunto al campo subjectAltNames nel messaggio SecuritySettings.

Le applicazioni non possono utilizzare i certificati mTLS con la libreria gRPC

Se le tue applicazioni non riescono a utilizzare i certificati mTLS con la libreria gRPC, fai quanto segue:

1. Verifica che la specifica del pod contenga l'annotazione security.cloud.google.com/use-workload-certificates descritta in Creazione di un servizio gRPC senza proxy con NEG.

2. Verifica che i file contenenti la catena di certificati insieme al certificato foglia, alla chiave privata e ai certificati CA attendibili siano accessibili nei seguenti percorsi dall'interno del pod:

   1. Catena di certificati insieme al certificato dell'entità finale: "/var/run/secrets/workload-spiffe-credentials/certificates.pem"
   2. Chiave privata: "/var/run/secrets/workload-spiffe-credentials/private_key.pem"
   3. Bundle CA: "/var/run/secrets/workload-spiffe-credentials/ca_certificates.pem"

3. Se i certificati del passaggio precedente non sono disponibili, procedi nel seguente modo:

     gcloud privateca subordinates describe SUBORDINATE_CA_POOL_NAME 
   
       --location=LOCATION
     

   1. Verifica che il binding del ruolo IAM del piano di controllo di GKE sia corretto e che gli conceda l'accesso al servizio CA:

      # Get the IAM policy for the CA
      gcloud privateca roots get-iam-policy ROOT_CA_POOL_NAME
      
      # Verify that there is an IAM binding granting access in the following format
      - members:
      - serviceAccount:service-projnumber@container-engine-robot.iam.gserviceaccount.com
      role: roles/privateca.certificateManager
      
      # Where projnumber is the project number (e.g. 2915810291) for the GKE cluster.
      

   2. Verifica che il certificato non sia scaduto. Questa è la catena di certificati e il certificato end-entity all'indirizzo /var/run/secrets/workload-spiffe-credentials/certificates.pem. Per controllare, esegui questo comando:

      cat /var/run/secrets/workload-spiffe-credentials/certificates.pem | openssl x509 -text -noout | grep "Not After"
      

   3. Verifica che il tipo di chiave sia supportato dalla tua applicazione eseguendo questo comando:

      cat /var/run/secrets/workload-spiffe-credentials/certificates.pem | openssl x509 -text -noout | grep "Public Key Algorithm" -A 3
      

   4. Verifica che l'applicazione gRPC Java abbia il seguente keyAlgorithm nel file YAML WorkloadCertificateConfig:

     keyAlgorithm:
       rsa:
         modulusSize: 4096
   

4. Verifica che la CA utilizzi la stessa famiglia di chiavi della chiave del certificato.

Il certificato di un'applicazione viene rifiutato dal client, dal server o dal peer

1. Verifica che l'applicazione peer utilizzi lo stesso bundle di attendibilità per verificare il certificato.
2. Verifica che il certificato in uso non sia scaduto (catena di certificati insieme al certificato dell'entità finale: "/var/run/secrets/workload-spiffe-credentials/certificates.pem").

I pod rimangono in stato In attesa

Se i pod rimangono in stato di attesa durante la procedura di configurazione, aumenta le risorse di CPU e memoria per i pod nella specifica di deployment.

Impossibile creare il cluster con il flag --enable-mesh-certificates

Assicurati di utilizzare l'ultima versione di gcloud CLI:

gcloud components update

Tieni presente che il flag --enable-mesh-certificates funziona solo con gcloud beta.

I pod non si avviano

I pod che utilizzano i certificati mesh GKE potrebbero non avviarsi se il provisioning dei certificati non va a buon fine. Ciò può verificarsi in situazioni come le seguenti:

• WorkloadCertificateConfig o TrustConfig non è configurato correttamente o manca.
• Le richieste CSR non vengono approvate.

Puoi verificare se il provisioning dei certificati non riesce controllando gli eventi del pod.

1. Controllare lo stato del tuo Pod:

   kubectl get pod -n POD_NAMESPACE POD_NAME
   

   Sostituisci quanto segue:

   • POD_NAMESPACE: lo spazio dei nomi del pod.
   • POD_NAME: il nome del tuo pod.

2. Controlla gli eventi recenti del tuo pod:

   kubectl describe pod -n POD_NAMESPACE POD_NAME
   

3. Se il provisioning dei certificati non va a buon fine, vedrai un evento con Type=Warning, Reason=FailedMount, From=kubelet e un campo Message che inizia con MountVolume.SetUp failed for volume "gke-workload-certificates". Il campo Message contiene informazioni per la risoluzione dei problemi.

   Events:
     Type     Reason       Age                From       Message
     ----     ------       ----               ----       -------
     Warning  FailedMount  13s (x7 over 46s)  kubelet    MountVolume.SetUp failed for volume "gke-workload-certificates" : rpc error: code = Internal desc = unable to mount volume: store.CreateVolume, err: unable to create volume "csi-4d540ed59ef937fbb41a9bf5380a5a534edb3eedf037fe64be36bab0abf45c9c": caPEM is nil (check active WorkloadCertificateConfig)
   

4. Consulta i seguenti passaggi per la risoluzione dei problemi se il motivo per cui i pod non vengono avviati è dovuto a oggetti configurati in modo errato o a CSR rifiutate.

WorkloadCertificateConfig o TrustConfig è configurato in modo errato

Assicurati di aver creato correttamente gli oggetti WorkloadCertificateConfig e TrustConfig. Puoi diagnosticare le configurazioni errate su uno di questi oggetti utilizzando kubectl.

1. Recupera lo stato attuale.

   Per WorkloadCertificateConfig:

   kubectl get WorkloadCertificateConfig default -o yaml
   

   Per TrustConfig:

   kubectl get TrustConfig default -o yaml
   

2. Controlla l'output dello stato. Un oggetto valido avrà una condizione con type: Ready e status: "True".

   status:
     conditions:
     - lastTransitionTime: "2021-03-04T22:24:11Z"
       message: WorkloadCertificateConfig is ready
       observedGeneration: 1
       reason: ConfigReady
       status: "True"
       type: Ready
   

   Per gli oggetti non validi, viene visualizzato status: "False". I campireasone message contengono ulteriori dettagli per la risoluzione dei problemi.

Le richieste CSR non sono approvate

Se si verifica un problema durante la procedura di approvazione della CSR, puoi controllare i dettagli dell'errore nelle condizioni type: Approved e type: Issued della CSR.

1. Elenca le CSR pertinenti utilizzando kubectl:

   kubectl get csr \
     --field-selector='spec.signerName=spiffe.gke.io/spiffe-leaf-signer'
   

2. Scegli un CSR che sia Approved e non Issued oppure che non sia Approved.

3. Recupera i dettagli della CSR selezionata utilizzando kubectl:

   kubectl get csr CSR_NAME -o yaml
   

   Sostituisci CSR_NAME con il nome della richiesta CSR che hai scelto.

Una CSR valida ha una condizione con type: Approved e status: "True" e un certificato valido nel campo status.certificate:

status:
  certificate: <base64-encoded data>
  conditions:
  - lastTransitionTime: "2021-03-04T21:58:46Z"
    lastUpdateTime: "2021-03-04T21:58:46Z"
    message: Approved CSR because it is a valid SPIFFE SVID for the correct identity.
    reason: AutoApproved
    status: "True"
    type: Approved

Le informazioni per la risoluzione dei problemi relativi alle richieste CSR non valide vengono visualizzate nei campi message e reason.

Nei pod mancano i certificati

1. Recupera la specifica del pod per il tuo pod:

   kubectl get pod -n POD_NAMESPACE POD_NAME -o yaml
   

   Sostituisci quanto segue:

   • POD_NAMESPACE: lo spazio dei nomi del pod.
   • POD_NAME: il nome del tuo pod.

2. Verifica che la specifica del pod contenga l'annotazione security.cloud.google.com/use-workload-certificates descritta in Configurare i pod per ricevere le credenziali mTLS.

3. Verifica che il controller di ammissione dei certificati mesh GKE abbia inserito correttamente un volume del driver CSI di tipo workloadcertificates.security.cloud.google.com nella specifica del pod:

   volumes:
   ...
   -csi:
     driver: workloadcertificates.security.cloud.google.com
     name: gke-workload-certificates
   ...
   

4. Controlla la presenza di un montaggio del volume in ciascun container:

   containers:
   - name: ...
     ...
     volumeMounts:
     - mountPath: /var/run/secrets/workload-spiffe-credentials
       name: gke-workload-certificates
       readOnly: true
     ...
   

5. Verifica che i seguenti bundle di certificati e la chiave privata siano disponibili nelle seguenti posizioni del pod:

   • Pacchetto della catena di certificati: /var/run/secrets/workload-spiffe-credentials/certificates.pem
   • Chiave privata: /var/run/secrets/workload-spiffe-credentials/private_key.pem
   • Pacchetto trust anchor CA: /var/run/secrets/workload-spiffe-credentials/ca_certificates.pem

6. Se i file non sono disponibili, segui questi passaggi:

   1. Recupera l'istanza di CA Service (anteprima) per il cluster:

      kubectl get workloadcertificateconfigs default -o jsonpath '{.spec.certificateAuthorityConfig.certificateAuthorityServiceConfig.endpointURI}'
      

   2. Recupera lo stato dell'istanza del servizio CA (anteprima):

      gcloud privateca ISSUING_CA_TYPE describe ISSUING_CA_NAME \
        --location ISSUING_CA_LOCATION
      

      Sostituisci quanto segue:

      • ISSUING_CA_TYPE: il tipo di CA emittente, che deve essere subordinates o roots.
      • ISSUING_CA_NAME: il nome della CA emittente.
      • ISSUING_CA_LOCATION: la regione della CA emittente.

   3. Recupera il criterio IAM per la CA radice:

      gcloud privateca roots get-iam-policy ROOT_CA_NAME
      

      Sostituisci ROOT_CA_NAME con il nome della tua CA radice.

   4. Nel criterio IAM, verifica che esista il binding del criterio privateca.auditor:

      ...
      - members:
        - serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com
        role: roles/privateca.auditor
      ...
      

      In questo esempio, PROJECT_NUMBER è il numero di progetto del cluster.

   5. Recupera il criterio IAM per la CA subordinata:

      gcloud privateca subordinates get-iam-policy SUBORDINATE_CA_NAME
      

      Sostituisci SUBORDINATE_CA_NAME con il nome della CA subordinata.

   6. Nel criterio IAM, verifica che esista il binding del criterio privateca.certificateManager:

      ...
      - members:
        - serviceAccount: service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com
        role: roles/privateca.certificateManager
      ...
      

      In questo esempio, PROJECT_NUMBER è il numero di progetto del cluster.

Le applicazioni non possono utilizzare le credenziali mTLS emesse

1. Verifica che il certificato non sia scaduto:

   cat /var/run/secrets/workload-spiffe-credentials/certificates.pem | openssl x509 -text -noout | grep "Not After"
   

2. Verifica che il tipo di chiave che hai utilizzato sia supportato dalla tua applicazione.

   cat /var/run/secrets/workload-spiffe-credentials/certificates.pem | openssl x509 -text -noout | grep "Public Key Algorithm" -A 3
   

3. Verifica che la CA emittente utilizzi la stessa famiglia di chiavi della chiave del certificato.

   1. Ottieni lo stato dell'istanza del servizio CA (anteprima):

      gcloud privateca ISSUING_CA_TYPE describe ISSUING_CA_NAME \
        --location ISSUING_CA_LOCATION
      

      Sostituisci quanto segue:

      • ISSUING_CA_TYPE: il tipo di CA emittente, che deve essere subordinates o roots.
      • ISSUING_CA_NAME: il nome della CA emittente.
      • ISSUING_CA_LOCATION: la regione della CA emittente.

   2. Verifica che keySpec.algorithm nell'output sia lo stesso algoritmo della chiave che hai definito nel manifest YAML WorkloadCertificateConfig. L'output ha il seguente aspetto:

      config:
        ...
        subjectConfig:
          commonName: td-sub-ca
          subject:
            organization: TestOrgLLC
          subjectAltName: {}
      createTime: '2021-05-04T05:37:58.329293525Z'
      issuingOptions:
        includeCaCertUrl: true
      keySpec:
        algorithm: RSA_PKCS1_2048_SHA256
       ...
      

I certificati vengono rifiutati

1. Verifica che l'applicazione peer utilizzi lo stesso bundle di attendibilità per verificare il certificato.

2. Verifica che il certificato non sia scaduto:

   cat /var/run/secrets/workload-spiffe-credentials/certificates.pem | openssl x509 -text -noout | grep "Not After"
   

3. Verifica che il codice client, se non utilizza l'API per il ricaricamento delle credenziali gRPC Go, aggiorni periodicamente le credenziali dal file system.

4. Verifica che i tuoi carichi di lavoro si trovino nello stesso dominio attendibile della tua CA. I certificati mesh GKE supportano la comunicazione tra i carichi di lavoro in un singolo dominio di attendibilità.

Limitazioni

La sicurezza del servizio Cloud Service Mesh è supportata solo con GKE. Non puoi eseguire il deployment della sicurezza del servizio con Compute Engine.

Cloud Service Mesh non supporta scenari in cui sono presenti due o più risorse di policy endpoint che corrispondono in egual misura a un endpoint, ad esempio due policy con le stesse etichette e porte o due o più policy con etichette diverse che corrispondono in egual misura alle etichette di un endpoint. Per saperne di più su come le policy degli endpoint vengono abbinate alle etichette di un endpoint, consulta le API per EndpointPolicy.EndpointMatcher.MetadataLabelMatcher. In queste situazioni, Cloud Service Mesh non genera la configurazione di sicurezza da nessuno dei criteri in conflitto.