全部產品
Search
文件中心

Alibaba Cloud Service Mesh:使用ASM認證管理

更新時間:Aug 06, 2024

ASM認證管理可以在網格內進行統一的認證同步,能夠更好地支援ASM的多叢集情境,還提供了認證資訊展示和到期警示等功能,方便您進行認證維護。本文介紹如何使用ASM認證管理功能。

前提條件

步驟一:準備伺服器憑證和私密金鑰

  1. 執行以下命令,建立根憑證和私密金鑰。

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt 
  2. 執行以下命令,為aliyun.com伺服器產生認證和私密金鑰,有效期間為365天。

    openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
    openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt
  3. 執行以下命令,為aliyun.com伺服器產生一個即將到期的認證和私密金鑰,有效期間為1天。

    此處建立有效期間為1天的認證是為了測試ASM的認證到期警示功能。

    openssl req -out expiring.aliyun.com.csr -newkey rsa:2048 -nodes -keyout expiring.aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
    openssl x509 -req -days 1 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in expiring.aliyun.com.csr -out expiring.aliyun.com.crt

(可選)步驟二:開啟控制平面日誌採集和認證警示

您可以根據實際情況,開啟控制平面日誌採集、認證到期警示和認證即將到期警示。如果您的認證有效期間不足30天,ASM會認為您的認證即將到期。

控制面日誌警示設定.png

步驟三:在認證管理頁面建立認證

  1. 建立一個正常的認證。

    1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

    2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇ASM網關 > 認證管理

    3. 認證管理頁面,單擊建立,然後在認證資訊面板,配置相關資訊,單擊確定

      配置項

      說明

      名稱

      自訂認證的名稱。

      命名空間

      預設為istio-system。

      密鑰憑證

      步驟一第2步產生的aliyun.com.crt檔案內容。

      私密金鑰

      步驟一第2步產生的aliyun.com.key檔案內容。

      是否啟用mTLS

      若您需要建立mTLS通訊使用的認證,請開啟開關,然後將CA認證的檔案內容粘貼至CA認證文字框。

  2. 參照步驟1,建立一個即將到期的認證。

    密鑰憑證私密金鑰請分別使用步驟一第3步產生的expiring.aliyun.com.crtexpiring.aliyun.com.key檔案內容。認證建立完成後,您可以在認證管理頁面看到新建立的兩個認證。您可以在操作列,單擊詳情查看認證的詳細資料,也可以單擊編輯修改認證內容。認證建立成功.png

  3. (可選)查看認證的警示日誌。

    ASM執行個體為1.17.2.35以下

    1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

    2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇網格執行個體 > 基本資料

    3. 配置資訊地區的控制面日誌採集右側,單擊查看日誌,然後在左側日誌庫,單擊internal-alert-history,在右側的internal-alert-history頁面搜尋認證,查看認證的警示日誌查看認證日誌.png

    ASM執行個體為1.17.2.35及以上

    1. 登入ASM控制台,在左側導覽列,選擇服務網格 > 網格管理

    2. 網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇可觀測管理中心 > 日誌中心

    3. 日誌中心頁面,單擊控制平面日誌頁簽,在文字框內輸入認證,單擊查詢/分析,查看認證的警示日誌

    說明

    認證到期警示的檢查間隔為6小時。如果您當前沒有警示日誌,請於6小時後進行查看。

  4. 引用認證管理中的認證。

    認證管理頁面建立認證之後,您可以在以下三處直接引用認證。

    • 使用YAML建立或修改網關規則時,如果需要配置TLS認證,您可以直接在credentialName中填寫認證管理中的名稱。更多資訊,請參見管理網關規則

    • 使用ASM提供的圖形化介面建立網關規則時,您可以直接在介面上選擇認證管理中的認證。更多資訊,請參見管理網關規則

    • 在網關概覽的網域名稱/認證頁面建立網域名稱時,若需要進行TLS配置,可以直接引用認證管理中的認證。更多資訊,請參見為網域名稱添加認證

步驟四:認證遷移

ASM從1.17版本起,開始支援在ASM網關 > 認證管理對認證進行管理。如果您已在網關概覽的網域名稱/認證頁面建立了認證,請及時遷移至認證管理頁面。

您可以直接在認證管理頁面,建立同名認證,將原有認證的相關資訊進行粘貼,之後認證管理頁面會接管原有認證。