Controles del servicio de VPC para Managed Anthos Service Mesh

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Anthos Service Mesh es compatible con una vista previa de los Controles del servicio de VPC (VPC-SC) en los canales regulares y estables para los clústeres de GKE con una versión superior o igual a 1.22.1-gke.100. A fin de obtener información sobre VPC-SC en el canal rápido, consulta Controles del servicio de VPC para la disponibilidad general de Anthos Service Mesh.

Antes de comenzar

La política de la organización y el perímetro de servicio de VPC-SC se configuran a nivel de la organización. Asegúrate de que se te hayan otorgado los roles adecuados para administrar VPC-SC.

Configura la política de la organización

Si aprovisionas un plano de control administrado nuevo de Anthos Service Mesh en el canal estable o normal, sigue las instrucciones para obtener una vista previa a continuación. De lo contrario, sigue las instrucciones de GA aquí.

  1. Los administradores de la organización deben configurar la política de la organización como se describe en esta sección; de lo contrario, te arriesgas a aprovisionar planos de control por accidente que no apliquen VPC-SC. Edita la política de la organización para tu organización o proyectos individuales y establece la restricción “Modo VPC-SC permitido para los planos de control administrados de ASM” en “COMPATIBLE” con Console o el siguiente comando de gcloud:

    gcloud resource-manager org-policies allow \
      meshconfig.allowedVpcscModes COMPATIBLE \
      --project=PROJECT_ID

    Aquí:

    • PROJECT_ID es el ID del proyecto que deseas actualizar.

    o

    gcloud resource-manager org-policies allow \
      meshconfig.allowedVpcscModes COMPATIBLE \
      --organization=ORGANIZATION_ID

    Aquí:

    • ORGANIZATION_ID es el ID de la organización que deseas actualizar.

Configura el perímetro de servicio de VPC-SC

Crea o actualiza tu perímetro de servicio:

  1. Agrega los proyectos de clúster y el proyecto de flota al perímetro de servicio. No se admite tener una malla de servicios distribuida en varios perímetros de VPC-SC.

  2. Agrega servicios restringidos al perímetro de servicio.

    Debes agregar servicios específicos a las listas de servicios permitidos y restringidos en el perímetro de servicio, de modo que el clúster de Anthos Service Mesh pueda acceder a ellos. El acceso a los servicios también está restringido dentro de la red de la nube privada virtual (VPC) de tu clúster.

    Si no se agregan estos servicios, es posible que la instalación de Anthos Service Mesh falle o no funcione de forma adecuada. Por ejemplo, si no agregas la API de configuración de malla al perímetro de servicio, la instalación fallará y las cargas de trabajo no recibirán su configuración de Envoy desde el plano de control administrado.

    Consola

    1. Sigue los pasos de la sección sobre cómo actualizar un perímetro de servicio para editar el perímetro.
    2. Haz clic en la página Editar perímetro de servicio de VPC.
    3. En Servicios restringidos, Servicios que se protegerán, haz clic en Agregar servicios.
    4. En el cuadro de diálogo Especificar los servicios que deseas restringir, haz clic en Filtrar servicios y, luego, ingresa la API de configuración de malla.
    5. Selecciona la casilla de verificación del servicio.
    6. Haz clic en Agregar API de configuración de malla.
    7. Repite los pasos de la c a la f para agregar lo siguiente:
      • API de la autoridad certificada de Cloud Service Mesh
      • API de GKE Hub
      • API de Cloud IAM
      • API de Stackdriver Logging
      • Cloud Trace API
      • Cloud Monitoring API
      • API de Google Cloud Resource Manager
      • API de Cloud Run
      • API de Google Compute Engine
      • API de Google Container Registry
      • API de Artifact Registry
      • API de Google Cloud Storage
    8. Haz clic en Guardar.

    gcloud

    Para actualizar la lista de servicios restringidos, usa el comando update y especifica los servicios que deseas agregar como una lista delimitada por comas:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,gkehub.googleapis.com,iam.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,cloudresourcemanager.googleapis.com,run.googleapis.com,compute.googleapis.com,containerregistry.googleapis.com,artifactregistry.googleapis.com,storage.googleapis.com \
      --policy=POLICY_NAME

    Aquí:

    • PERIMETER_NAME es el nombre del perímetro de servicio que deseas actualizar.

    • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

  3. Haz clic en Servicios de VPC accesibles y establécelos como "Todos los servicios restringidos" para que aún se pueda acceder a los servicios restringidos en el paso anterior desde el perímetro de VPC-SC.

  4. A menos que instales Anthos Service Mesh desde una red perimetral, agrega una regla de entrada para permitir que la identidad que ejecuta el comando asmcli acceda al perímetro de servicio.

    Para obtener más información, consulta Actualiza un perímetro de servicio.

Instala Anthos Service Mesh administrado en un perímetro de VPC-SC

En esta sección, no se requieren privilegios de administrador de la organización, pero sí cumple con la política de VPC-SC. Debes usar la marca adicional --use_vpcsc durante la instalación; de lo contrario, los controles de seguridad de VPC no se aplicarán por completo en el plano de control. Si configuraste la política meshconfig.allowedVpcscModes como se recomienda, los intentos de instalación sin la marca --use-vpcsc fallarán.

Sigue los pasos de la página Configura Anthos Service Mesh. Verifica que el plano de control se haya aprovisionado de forma correcta y que no haya errores relacionados con VPC-SC.

Soluciona problemas

No se puede crear un clúster con la última imagen de GKE 1.22

Existe un problema conocido que impide la creación de un clúster con la última imagen 1.22 en un entorno restringido de VPC-SC. La solución alternativa es crear este clúster primero con la imagen del canal de GKE predeterminada y, luego, actualizar la imagen:

gcloud container clusters create CLUSTER \
  --region REGION \
  --release-channel=rapid \
  --workload-pool=PROJECT_ID.svc.id.goog \
  --project PROJECT_ID
gcloud container clusters upgrade CLUSTER \
  --region REGION \
  --master --cluster-version 1.22 \
  --project PROJECT_ID

Los contenedores no pueden descargar sus imágenes.

Esto puede suceder si las imágenes están ubicadas fuera del perímetro de servicio. Mueve las imágenes a un bucket ubicado dentro del perímetro o actualiza el perímetro para agregar una regla de salida. Por lo general, la regla de salida puede permitir que las identidades seleccionadas accedan a lasAPI de Container Registry, API de Artifact Registry y API de Cloud Storage.

El campo Estado de la CRD de ControlPlaneRevision muestra errores de VPC-SC

Esto puede suceder si no usaste la marca "--use_vpcsc" durante la instalación, en cuyo caso es seguro volver a ejecutarla.

De lo contrario, ejecuta este comando para obtener más información sobre el error:

gcloud logging read --project=PROJECT_ID \
'protoPayload.metadata.@type=type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata'

Aquí:

  • PROJECT_ID es el ID del proyecto que tiene errores.