[Cert manager] Let's Encrypt 를 이용해서 Istio Gateway 에 TLS 을 적용해보자! - Route53

 

 

 

지난 글에서 Cloudflare 에서 생성한 도메인과 Let's Encrypt 를 이용해서 TLS 를 httpbin 에 적용했었습니다. 

 

이번에는 Cloudflare 보다 더 대중적인 Route53 에서 생성한 도메인에도 TLS 를 적용해보고자 합니다.

 

Route53 에서 구매한 도메인에 대해서는 AWS ACM 을 이용해서 무료로 TLS 를 발급받을 수 있습니다. 그리고 발급받은 TLS 를 AWS ALB 에 바로 적용하게 되면 아주 쉽게 TLS 통신이 가능합니다.

 

그래서 ALB 와 Istio 를 이용하게 되면 대략 아래 그림과 같죠. 

하지만 외부만 TLS 를 통신이 가능하므로 내부에선 TLS 통신이 불가능합니다.

ACM 을 통해 도메인에 대한 Cert 를 발급받을 수 있는데, 이 값은 다운받아서 사용불가능합니다.
즉, tls.cert 와 같이 파일로 출력하는 것이 불가능해 내용은 확인할 수 없어 AWS 외부 서비스에선 사용이 불가합니다.

 

Istio mTLS 도 내부 TLS 통신의 대안이 될 순 있겠지만! 그래도 여기선 Route53 + Let's Ecrypt 를 통해 TLS 를 발급받을 수 있도록 해보죠.

 

Istio mTLS 에 대해 궁금하다면 여기 참고!

 

개념은 지난 글에서 충분히 다뤘기 때문에 이번 글이 잘 이해가 안간다면 지난 글을 보고 오시는 걸 추천합니다!

 

그럼 렛츠두더코드~

 

Route53 에 도메인을 구매했고, *.kingbj0429.link 와 kingbj0429.link 의 A 레코드를 미니 PC 의 노드 IP 로 추가했습니다.

 

사실 kingbj0429.uk 도메인을 이미 구매했기 때문에 Route53 으로 이전해서 그대로 사용하려고 했는데..
최소 60일이 지나면 할 수 있다고 해서 결국 $5 주고 구매했습니다 ㅜㅜ

 

Route53 을 사용하는 방법은 Cert Manager 공식 문서에 자세히 나와있습니다.

 

Route53 에 접근하기 위해 AWS Credential 이 필요한데, 저는 그냥 IAM User 의 AccessKey 를 Secret 리소스에 하드 코딩해서 자격을 증명했습니다.

 

EKS 사용했다면, IRSA 를 이용해서 쉽게 자격 증명이 가능합니다.

또한 IAM Role 을 발급 받은 후 Role 의 AccessKey 로도 자격 증명이 가능한데, Role 은 만료기간이 최대 24시간이여서 그냥 IAM User 의 AccessKey 를 이용했습니다.

 

Certificate 를 삭제하고 생성하고 삭제하고 생성하다보면 Let's Encrypt 에서 해당 도메인에 대해 이틀 동안 TLS 를 발급받을 수 없게 합니다. 또한 Deploy 와 다르게 한번 생성하면 크게 만질 일이 없을 거 같아서 테라폼으로 관리하기 위해 hcl 를 이용해 작성했습니다.

resource "kubernetes_secret_v1" "route53_credentials_secret" {
  metadata {
    name      = "route53-credentials-secret"
    namespace = "istio-system"
  }

  data = {
    access-key-id     = "<not encoded key>"
    secret-access-key = "<not encoded key>"
  }

  type = "Opaque"
}

resource "kubernetes_manifest" "letsencrypt_dns01_route53_issuer" {
  manifest = {
    apiVersion = "cert-manager.io/v1"
    kind       = "Issuer"

    metadata = {
      name      = "letsencrypt-dns01-route53-issuer"
      namespace = "istio-system"
    }

    spec : {
      acme = {
        server = "https://acme-v02.api.letsencrypt.org/directory"
        email  = "kingbj0429@gmail.com"

        privateKeySecretRef = {
          name = "letsencrypt-dns01-route53-key-pair"
        }

        solvers = [
          {
            selector = {
              dnsZones = [
                "kingbj0429.link"
              ]
            }
            dns01 = {
              route53 = {
                region = "ap-northeast-2"
                hostedZoneID = "Z025..."

                accessKeyIDSecretRef = {
                  name = kubernetes_secret_v1.route53_credentials_secret.metadata[0].name
                  key  = "access-key-id"
                }
                secretAccessKeySecretRef = {
                  name = kubernetes_secret_v1.route53_credentials_secret.metadata[0].name
                  key  = "secret-access-key"
                }
              }
            }
          }
        ]
      }
    }
  }
}

resource "kubernetes_manifest" "kingbj0429_link_cert" {
  manifest = {
    apiVersion = "cert-manager.io/v1"
    kind       = "Certificate"

    metadata = {
      name      = "kingbj0429-link-cert"
      namespace = "istio-system"
    }

    spec = {
      secretName = "kingbj0429-link-key-pair"
      commonName = "kingbj0429.link"

      dnsNames = [
        "kingbj0429.link",
        "httpbin.kingbj0429.link"
      ]

      duration    = "2160h0m0s" # 90d
      renewBefore = "360h0m0s" # 15d

      privateKey = {
        algorithm = "RSA"
        encoding  = "PKCS1"
        size      = 4096
      }

      issuerRef = {
        name  = "letsencrypt-dns01-route53-issuer"
        kind  = "Issuer"
        group = "cert-manager.io"
      }
    }
  }

 

정말 중요한 것이 한가지 있습니다.
Istio Gateway 에서 사용하려면 반드시 발급 받은 인증서가 istio-system 네임스페이스에 존재해야합니다.

여기 참고!

 

이후 terraform apply 를 통해 생성해줍시다.

$ k get certificate -n istio-system
#NAME                   READY   SECRET                     AGE
#kingbj0429-link-cert   True    kingbj0429-link-key-pair   14s

 

문제없이 생성됐습니다. (지난 글에서는 메커니즘에 대해 설명되어 있으니 궁금하시다면 지난 글 참고!)

 

이후 테스트 해볼 파드도 배포합니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: kingbj0429-link-gateway
spec:
  selector:
    istio: gateway
  servers:
    - port:
        number: 80
        name: http
        protocol: HTTP
      hosts:
        - "httpbin.kingbj0429.link"
    - port:
        number: 443
        name: https
        protocol: HTTPS
      tls:
        mode: SIMPLE
        credentialName: kingbj0429-link-key-pair # 해당 시크릿은 반드시 istio 를 배포한 네임스페이스와 일치할 것!
      hosts:
        - "httpbin.kingbj0429.link"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: kingbj0429-link-virtual-service
spec:
  hosts:
    - "httpbin.kingbj0429.link"
  gateways:
    - kingbj0429-link-gateway
  http:
    - match:
        - uri:
            prefix: /
      route:
        - destination:
            host: httpbin
            port:
              number: 8000
---
apiVersion: v1
kind: Service
metadata:
  name: kingbj0429-link-httpbin
  labels:
    app: kingbj0429-link-httpbin
    service: httpbin
spec:
  ports:
    - name: http
      port: 8000
      targetPort: 80
  selector:
    app: kingbj0429-link-httpbin
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: kingbj0429-link-httpbin
spec:
  replicas: 1
  selector:
    matchLabels:
      app: kingbj0429-link-httpbin
      version: v1
  template:
    metadata:
      labels:
        app: kingbj0429-link-httpbin
        version: v1
    spec:
      containers:
        - image: docker.io/kong/httpbin
          imagePullPolicy: IfNotPresent
          name: httpbin
          ports:
            - containerPort: 80

 

배포를 진행한 후 httpbin.kingbj0429.link 로 접속해보겠습니다.

 

인증서 뷰어로 확인해보니 Let's Encrypt 가 잘 발급해준 것을 확인할 수 있습니다.

 

 

처음이 어려웠지 CloudFlare 로 진행한 후 Route53 에 적용해보니 아주 쉬웠습니다.

이외에도 ACME DNS01 은 다양한 서비스 공급자를 제공합니다. 다른 방법도 결국 비슷하다보니 어렵지 않게 적용할 수 있을 거 같습니다.

 

그럼 오늘은 여기까지!