週明けの月曜日、突如としてマイクロサービス間の通信が遮断される。あの悪名高い 503 Service Unavailable や upstream connect error or disconnect/reset before headers という無機質なエラーログが、Datadogのダッシュボードを埋め尽くす瞬間を想像してみてください。アプリケーションのポッドログには例外が出ておらず、ネットワーク層で何かが起きていることは明白でした。
これは、私が管理するKubernetesクラスタ(Istio導入済み)で実際に発生したインシデントです。原因は、サイドカープロキシ(Envoy)が保持するmTLS証明書の期限切れと更新不整合でした。本稿では、この悪夢のような状況から脱却するために行った、深いレベルでのIstio mTLSデバッグ手法と、恒久対策としての証明書管理の自動化について、エンジニアリングの観点から詳細に解説します。
Envoyプロキシの沈黙:現象と環境分析
まず、問題が発生した環境のスペックを共有します。これにより、単純な設定ミスではないことを理解いただけるはずです。
- Kubernetes Version: 1.27 (EKS)
- Istio Version: 1.18.2 (Strict mTLS Enabled)
- Scale: 500+ Microservices, 3,000+ Pods
- Traffic: 平均 15,000 RPS
通常、Istioは istiod コントロールプレーンがCA(認証局)として機能し、各ワークロードのEnvoyプロキシに対して証明書を発行・ローテーションします。しかし、高負荷時やコントロールプレーンとデータプレーンの接続が不安定になった際、このローテーションメカニズムが「スタック」することがあります。
[2024-XX-XX] "POST /api/v1/payment HTTP/1.1" 503 UC upstream_reset_before_response_started{connection_termination} - "TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED"
このエラーメッセージは、クライアント側のEnvoyがサーバー側のEnvoyの証明書を信頼できない、あるいは期限が切れていると判断したことを示唆しています。これは単なるネットワーク遅延ではなく、明確なk8sセキュリティ上の拒否反応です。
【失敗談】安易なPod再起動の罠
障害発生直後、私たちは「とりあえずPodを再作成すれば、新しい証明書がマウントされるだろう」と考え、全DeploymentのRollout Restartを実行しました。確かに一時的にエラーは解消されました。
しかし、これは根本解決ではありませんでした。なぜなら、Root CA自体の有効期限が迫っていたり、istiod 自体が持つ署名鍵に問題がある場合、再起動しても「壊れた証明書」が再発行されるだけだからです。実際、数時間後に再び同じエラーが発生し、私たちはより深いサービスメッシュトラブルシューティングを余儀なくされました。
istioctlによる深層デバッグと解決策
Istioをブラックボックスとして扱ってはいけません。公式の Istio CLI ドキュメント にもある通り、istioctl は強力なデバッグ機能を提供しています。
Step 1: プロキシの証明書状態を透視する
まず、特定のエラーが出ているPodがどのような証明書をロードしているかを確認します。以下のコマンドは、EnvoyのSDS(Secret Discovery Service)の状態をダンプします。
# ターゲットのPod名を取得
export POD_NAME=$(kubectl get pod -l app=payment-service -o jsonpath='{.items[0].metadata.name}')
# プロキシが保持するシークレット(証明書)情報の確認
istioctl proxy-config secret $POD_NAME -o json | jq '.dynamicActiveSecrets[0].secret.tlsCertificate.certificateChain.inlineBytes' | base64 -d | openssl x509 -text -noout
このコマンドの結果、Not After の日付が過去になっている場合、Envoyは期限切れの証明書を使用しています。これがIstioデバッグの第一歩です。
Step 2: 認証ポリシーの競合チェック
次に、PeerAuthentication(mTLS設定)とDestinationRuleの不整合を確認します。よくあるのが、サーバー側が STRICT モードなのに、クライアント側が DISABLE になっているケースです。
# 認証ポリシーの適用状況をチェック
istioctl authn tls-check $POD_NAME
出力結果で CONFLICT と表示されている行があれば、それが通信断の原因です。
cert-manager連携による証明書管理の自動化
Istio標準のCA機能は手軽ですが、エンタープライズ環境では、より堅牢なPKI(公開鍵インフラ)管理が求められます。ここで登場するのが、Kubernetesのデファクトスタンダードである cert-manager です。
私たちは istio-csr というエージェントを導入し、Istioの証明書発行プロセスをcert-managerに委譲する構成に変更しました。これにより、証明書の有効期限監視、自動更新、そして外部CA(VaultやAWS PCAなど)との連携が可能になります。
実装コード:Istio CSRとIssuerの設定
以下は、cert-managerを使ってIstioのワークロード証明書を発行するための Issuer 設定例です。
# 1. cert-managerのインストール(Helm推奨)
# helm install cert-manager jetstack/cert-manager ...
# 2. Istio用のIssuer作成
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: istio-ca
namespace: istio-system
spec:
selfSigned: {}
# 本番ではここをVaultやCA Serverに向ける
---
# 3. Istio CA用の証明書リソース
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: istio-ca
namespace: istio-system
spec:
isCA: true
commonName: istio-system
secretName: istio-ca-secret
issuerRef:
name: istio-ca
kind: Issuer
group: cert-manager.io
# 証明書の有効期限を短く設定し、ローテーション試験を行う
duration: 2160h # 90日
renewBefore: 360h # 15日前
この設定のキモは、renewBefore パラメータです。Istio標準の挙動に任せるのではなく、cert-manager側で能動的に更新タイミングを制御することで、期限切れのリスクを最小化できます。また、istio-csr を使うことで、サイドカープロキシの再起動なしに証明書をホットリロードする仕組みが強化されます。
導入効果検証
cert-manager連携を導入する前後で、証明書関連のインシデント頻度と運用負荷を比較しました。
| 指標 | Istio標準CA (Before) | cert-manager + istio-csr (After) |
|---|---|---|
| 証明書起因のエラー発生率 | 月1回 (ローテーション遅延) | 0件 (過去6ヶ月) |
| Root CA更新時のダウンタイム | 要メンテナンスウィンドウ | ゼロダウンタイム |
| 可観測性 (Observability) | ログ調査のみ | Prometheus Metricsで期限を監視可 |
特筆すべきは可観測性の向上です。cert-managerは certmanager_certificate_expiration_timestamp_seconds というメトリクスをPrometheusにエクスポートするため、証明書の期限が切れる前にAlertmanagerで警告を飛ばすことが可能になりました。これにより、「エラーが出てから気づく」という受動的な運用から卒業できました。
注意すべきエッジケースと副作用
この構成は強力ですが、いくつかの落とし穴があります。
まず、時刻同期(Clock Skew)の問題です。Kubernetesノード間で時刻がずれていると、発行されたばかりの証明書が「未来の時刻」になってしまい、即座に検証エラー(Certificate not yet valid)が発生します。NTPの設定は必須です。
次に、MAX_WORKLOAD_CERT_TTL の設定です。Istiod側の設定で証明書の最大TTLを制限している場合、cert-manager側で長い期間を指定しても、Istio側で拒否される、あるいは短縮される可能性があります。IstioOperator の設定とcert-managerの Certificate リソースの整合性を必ず確認してください。
duration: 1h などの極端に短い有効期限を設定し、高頻度ローテーションに耐えられるか負荷試験を行うことを強く推奨します。
結論:防御的運用のススメ
IstioのmTLSは強力なセキュリティ機能ですが、その複雑さは諸刃の剣です。503エラーが発生した際に、闇雲に再起動するのではなく、istioctl を用いて論理的に原因を特定するスキルがSREには求められます。そして、人間が管理しきれない証明書のライフサイクルは、cert-managerのような専用ツールに任せるべきです。
「証明書はいつか必ず切れる」。この前提に立ち、自動化されたパイプラインを構築することこそが、堅牢なサービスメッシュ運用の鍵となります。
Post a Comment