Controlli di servizio VPC per Cloud Service Mesh (gestiti)
Cloud Service Mesh (gestiti) supporta i Controlli di servizio VPC come funzionalità in disponibilità generale (GA) per i nuovi piani di controllo.
Per verificare se il tuo piano di controllo supporta i controlli di servizio VPC GA, verifica la funzionalità mesh stato dell'appartenenza per la condizione VPCSC_GA_SUPPORTED.
gcloud container fleet mesh describe --project FLEET_PROJECT_ID
L'output è simile a questo:
(...) membershipStates: projects/FLEET_PROJECT_NUMBER/locations/MEMBERSHIP_LOCATION/memberships/MEMBERSHIP_ID: servicemesh: conditions: - code: VPCSC_GA_SUPPORTED details: This control plane supports VPC Service Controls GA. documentationLink: http://cloud.google.com/service-mesh/docs/managed/VPC Service Controls severity: INFO (...)
Se hai già un piano di controllo che non segnala il Condizione VPCSC_GA_SUPPORTED e vuoi utilizzare i Controlli di servizio VPC, contatta l'assistenza.
Prima di iniziare
Il criterio dell'organizzazione e il perimetro di servizio dei Controlli di servizio VPC sono configurati a livello di organizzazione. Assicurati di disporre dei ruoli appropriati per amministrare i Controlli di servizio VPC.
Configura il perimetro di servizio dei Controlli di servizio VPC
Crea o aggiorna il perimetro di servizio:
Aggiungi i progetti del cluster e il progetto del parco risorse al perimetro di servizio. Disporre di un mesh di servizi in più Controlli di servizio VPC perimetri non sono supportati.
Aggiungere servizi limitati al perimetro di servizio.
Devi aggiungere servizi specifici agli elenchi di servizi consentiti e con limitazioni nel perimetro di servizio in modo che il cluster Cloud Service Mesh possa accedervi. L'accesso a questi servizi è limitato anche all'interno dell'infrastruttura una rete VPC (Virtual Private Cloud).
La mancata aggiunta di questi servizi potrebbe causare un errore dell'installazione di Cloud Service Mesh o non funzionano correttamente. Ad esempio, se non aggiungi l'API Mesh Configuration al perimetro del servizio, l'installazione non andrà a buon fine e i carichi di lavoro non riceveranno la configurazione di Envoy dal control plane gestito.
Console
- Segui i passaggi in Aggiornare un perimetro di servizio per modificare il perimetro.
- Fai clic sulla pagina Modifica perimetro di servizio VPC.
- In Servizi con restrizioni, Servizi da proteggere, fai clic su Aggiungi servizi.
- Nella finestra di dialogo Specifica i servizi da limitare, fai clic su Filtra servizi e inserisci API Mesh Configuration.
- Seleziona la casella di controllo del servizio.
- Fai clic su Aggiungi API di configurazione mesh.
- Ripeti i passaggi da C a F per aggiungere:
- API Cloud Service Mesh Certificate Authority
- API GKE Hub
- API Cloud IAM
- API Cloud Monitoring
- API Cloud Trace
- API Cloud Monitoring
- API Google Cloud Resource Manager
- API Google Compute Engine
- API Google Container Registry
- API Artifact Registry
- API Google Cloud Storage
- API Cloud Logging
- API Security Token Service
- Fai clic su Salva.
gcloud
Per aggiornare l'elenco dei servizi con limitazioni, utilizza il comando
updatee specifica i servizi da aggiungere come elenco delimitato da virgole:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,gkehub.googleapis.com,iam.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,cloudresourcemanager.googleapis.com,compute.googleapis.com,containerregistry.googleapis.com,artifactregistry.googleapis.com,storage.googleapis.com,logging.googleapis.com,sts.googleapis.com \ --policy=POLICY_NAME
Dove:
PERIMETER_NAME è il nome del perimetro di servizio che vuoi aggiornare.
POLICY_NAME è il nome numerico dell'accesso della tua organizzazione . Ad esempio,
330193482019.
Fai clic su Servizi accessibili da VPC e impostalo su "Tutti i servizi limitati", in modo che i servizi limitati nel passaggio precedente siano ancora accessibili dall'interno del perimetro dei Controlli di servizio VPC.
A meno che tu non stia installando Cloud Service Mesh da una rete in perimetro, aggiungi un regola in entrata per consentire all'identità che esegue il comando
asmclil'accesso al perimetro di servizio.Per ulteriori informazioni, vedi Aggiornamento di un perimetro di servizio.
Installa Cloud Service Mesh gestito in un perimetro dei Controlli di servizio VPC
Segui i passaggi in Configura Cloud Service Mesh gestito . Poi, verificare che sia stato eseguito il provisioning del piano di controllo e non ci sono errori relativi ai Controlli di servizio VPC.
Risoluzione dei problemi
Impossibile creare un cluster con l'immagine GKE 1.22 più recente
Esiste un problema noto che impedisce la creazione di un cluster con l'immagine 1.22 più recente in un ambiente con limitazioni dei Controlli di servizio VPC. La soluzione alternativa è creare prima questo cluster con l'immagine del canale GKE predefinito, quindi eseguire l'upgrade dell'immagine:
gcloud container clusters create CLUSTER \ --region REGION \ --release-channel=rapid \ --workload-pool=PROJECT_ID.svc.id.goog \ --project PROJECT_ID
gcloud container clusters upgrade CLUSTER \ --region REGION \ --master --cluster-version 1.22 \ --project PROJECT_ID
I container non sono in grado di scaricare le loro immagini.
Questo può accadere se le immagini si trovano all'esterno del perimetro di servizio. Sposta le immagini in un bucket all'interno del perimetro o aggiorna il perimetro per aggiungere una regola di uscita. In genere, la regola in uscita può consentire identità per accedere all'API Container Registry, all'API Artifact Registry, e API Cloud Storage.
Il campo Stato della risorsa ControlPlaneRevision CRD mostra errori di VPC Service Controls
Esegui questo comando per ottenere maggiori informazioni sull'errore:
gcloud logging read --project=PROJECT_ID \ 'protoPayload.metadata.@type=type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata'
Dove:
- PROJECT_ID è l'ID progetto che presenta errori.