Kontrol Layanan VPC untuk GA Managed Anthos Service Mesh

Anthos Service Mesh terkelola mendukung VPC Service Controls (VPC-SC) sebagai fitur yang tersedia secara umum (GA) di saluran cepat, untuk cluster GKE dengan rilis yang lebih besar atau sama dengan 1.22.1-gke.100. Untuk informasi tentang VPC-SC pratinjau di saluran Reguler dan Stabil, lihat Kontrol Layanan VPC untuk Anthos Service Mesh terkelola.

Saat ini, hanya bidang kontrol yang baru disediakan yang mendukung GA VPC-SC. Kami secara bertahap memigrasikan bidang kontrol yang ada dan akan memberikan petunjuk tentang cara mengidentifikasi apakah bidang kontrol telah dimigrasikan atau tidak. Jika Anda ingin menentukan apakah bidang kontrol yang ada telah dimigrasikan, hubungi dukungan.

Sebelum memulai

Kebijakan org dan perimeter layanan VPC-SC dikonfigurasi di tingkat organisasi. Pastikan Anda telah diberi peran yang tepat untuk mengelola VPC-SC.

Mengonfigurasi kebijakan organisasi

Jika Anda menyediakan bidang kontrol Anthos Service Mesh terkelola baru di saluran cepat, ikuti petunjuk untuk GA di bawah. Jika tidak, ikuti petunjuk untuk pratinjau di sini.

Petunjuk berikut memastikan bahwa semua bidang kontrol baru mendukung VPC-SC (baik pratinjau maupun GA). Dengan kata lain, setelah kebijakan ditetapkan, Anda akan dapat menyediakan saluran Cepat pada cluster yang menjalankan setidaknya 1.22.1-gke.100 (akan memiliki dukungan GA VPC-SC). Namun, Anda tidak akan dapat menyediakan saluran Reguler pada cluster tersebut tanpa meminta pratinjau VPC-SC secara eksplisit. Tanpanya, Anda akan mendapatkan bidang kontrol reguler karena VPC-SC GA belum diaktifkan di saluran Reguler, dan kebijakan ini mencegahnya.

  1. Admin organisasi harus mengonfigurasi kebijakan organisasi seperti yang dijelaskan di bagian ini. Jika tidak, Anda berisiko tidak sengaja menyediakan bidang kontrol yang tidak menerapkan VPC-SC. Edit org-policy untuk organisasi Anda atau untuk masing-masing project, dan tetapkan batasan 'Allowed VPC-SC mode for ASM Managed Control Planes' ke 'COMPATIBLE', menggunakan Konsol atau perintah gcloud berikut:

    gcloud resource-manager org-policies allow \
      meshconfig.allowedVpcscModes COMPATIBLE \
      --project=PROJECT_ID

    Dengan keterangan:

    • PROJECT_ID adalah ID project yang ingin Anda perbarui.

    atau

    gcloud resource-manager org-policies allow \
      meshconfig.allowedVpcscModes COMPATIBLE \
      --organization=ORGANIZATION_ID

    Dengan keterangan:

    • ORGANIZATION_ID adalah ID organisasi yang ingin Anda perbarui.

Menyiapkan perimeter layanan VPC-SC

Buat atau perbarui perimeter layanan Anda:

  1. Tambahkan project cluster dan project fleet ke perimeter layanan. Memiliki mesh layanan yang tersebar di beberapa perimeter VPC-SC tidak didukung.

  2. Menambahkan layanan yang dibatasi ke perimeter layanan.

    Anda harus menambahkan layanan tertentu ke daftar layanan yang diizinkan dan dibatasi di perimeter layanan agar cluster Anthos Service Mesh Anda dapat mengaksesnya. Akses ke layanan ini juga dibatasi dalam jaringan Virtual Private Cloud (VPC) cluster Anda.

    Jika layanan ini tidak ditambahkan, penginstalan Anthos Service Mesh dapat gagal atau tidak berfungsi dengan benar. Misalnya, jika Anda tidak menambahkan Mesh Configuration API ke perimeter layanan, penginstalan akan gagal dan beban kerja tidak akan menerima konfigurasi Envoy dari bidang kontrol yang terkelola.

    Konsol

    1. Ikuti langkah-langkah di Memperbarui perimeter layanan untuk mengedit perimeter.
    2. Klik halaman Edit Perimeter Layanan VPC.
    3. Di bagian Layanan yang Dibatasi, Layanan yang akan dilindungi, klik Tambahkan Layanan.
    4. Pada dialog Specify services to restricted, klik Filter services, lalu masukkan Mesh Configuration API.
    5. Pilih kotak centang layanan.
    6. Klik Add Mesh Configuration API.
    7. Ulangi langkah c - f untuk menambahkan:
      • Cloud Service Mesh Certificate Authority API
      • GKE Hub API
      • API Cloud IAM
      • API Cloud Monitoring
      • API Cloud Trace
      • API Cloud Monitoring
      • API Google Cloud Resource Manager
      • Cloud Run API
      • API Google Compute Engine
      • Google Container Registry API
      • Artifact Registry API
      • API Google Cloud Storage
    8. Klik Simpan.

    gcloud

    Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update dan tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,gkehub.googleapis.com,iam.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,cloudresourcemanager.googleapis.com,run.googleapis.com,compute.googleapis.com,containerregistry.googleapis.com,artifactregistry.googleapis.com,storage.googleapis.com \
      --policy=POLICY_NAME

    Dengan keterangan:

    • PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda update.

    • POLICY_NAME adalah nama numerik kebijakan akses organisasi Anda. Contoh, 330193482019.

  3. Klik Layanan yang dapat diakses VPC dan tetapkan ke 'Semua layanan yang dibatasi', sehingga layanan yang dibatasi pada langkah di atas masih dapat diakses dari dalam perimeter VPC-SC.

  4. Kecuali Anda menginstal Anthos Service Mesh dari jaringan dalam perimeter, tambahkan aturan masuk untuk mengizinkan identitas yang menjalankan akses perintah asmcli ke perimeter layanan.

    Untuk mengetahui informasi selengkapnya, lihat Memperbarui perimeter layanan.

Perbedaan dengan pratinjau VPC-SC

Perbedaan antara VPC-SC GA dan pratinjau adalah dalam kemudahan penyediaan bidang kontrol. Bidang kontrol dengan VPC-SC GA aktif akan selalu mengikuti konfigurasi perimeter VPC-SC (atau ketiadaannya), dan tidak memerlukan pengetahuan tentang VPC-SC pada saat penyediaan (tidak perlu pengaktifan eksplisit). Di sisi lain, pratinjau VPC-SC harus diaktifkan secara eksplisit pada waktu penyediaan dan tidak berfungsi seperti yang diharapkan jika tidak ada perimeter VPC-SC yang dikonfigurasi.

Jika Anda mengikuti petunjuk pratinjau VPC-SC untuk menyediakan bidang kontrol yang akan memenuhi syarat untuk VPC-SC GA, VPC-SC GA akan diaktifkan.

Menginstal Anthos Service Mesh terkelola di perimeter VPC-SC

Bagian ini tidak memerlukan hak istimewa admin organisasi. Ikuti langkah-langkah di halaman Mengonfigurasi Anthos Service Mesh terkelola. Kemudian, pastikan bidang kontrol telah berhasil disediakan dan tidak ada error terkait VPC-SC.

Pemecahan masalah

Penampung tidak dapat mendownload gambarnya.

Hal ini dapat terjadi jika gambar berada di luar perimeter layanan. Pindahkan image ke bucket yang terletak di dalam perimeter, atau update perimeter untuk menambahkan aturan Traffic keluar. Biasanya, aturan Traffic Keluar mengizinkan identitas yang dipilih untuk mengakses Container Registry API, Artifact Registry API, dan Cloud Storage API.

Kolom Status CRD ControlPlaneRevision menampilkan error VPC-SC

Jalankan perintah ini untuk mendapatkan info selengkapnya tentang error tersebut:

gcloud logging read --project=PROJECT_ID \
'protoPayload.metadata.@type=type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata'

Dengan keterangan:

  • PROJECT_ID adalah project ID dari project yang mengalami error.