VPC Service Controls pour Anthos Service Mesh géré

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Anthos Service Mesh géré est compatible avec une version preview de VPC Service Controls (VPC-SC) dans les canaux standard et stable, pour les clusters GKE dont la version est supérieure ou égale à 1.22.1-gke.100. Pour en savoir plus sur VPC-SC dans le canal rapide, consultez la section Disponibilité générale de VPC Service Controls pour le service Anthos Service Mesh géré.

Avant de commencer

La règle d'administration et le périmètre de service VPC-SC sont configurés au niveau de l'organisation. Assurez-vous de disposer des rôles appropriés pour l'administration de VPC-SC.

Configurer la règle d'administration

Si vous provisionnez un nouveau plan de contrôle géré Anthos Service Mesh dans le canal stable ou standard, suivez les instructions ci-dessous pour obtenir la version preview. Sinon, suivez les instructions concernant la disponibilité générale ici.

  1. Les administrateurs d'organisation doivent configurer la règle d'administration comme décrit dans cette section. Sinon, vous risquez de provisionner accidentellement des plans de contrôle qui n'appliquent pas VPC-SC. Modifiez la org-policy pour votre organisation ou pour des projets individuels, et définissez la contrainte "Allowed VPC-SC mode for ASM Managed Control Plans" sur "COMPATIBLE" à l'aide de la console ou de la commande gcloud suivante :

    gcloud resource-manager org-policies allow \
      meshconfig.allowedVpcscModes COMPATIBLE \
      --project=PROJECT_ID

    Où :

    • PROJECT_ID est l'ID du projet que vous souhaitez mettre à jour.

    ou

    gcloud resource-manager org-policies allow \
      meshconfig.allowedVpcscModes COMPATIBLE \
      --organization=ORGANIZATION_ID

    Où :

    • ORGANIZATION_ID est l'ID de l'organisation que vous souhaitez mettre à jour.

Configurer un périmètre de service VPC-SC

Créez ou mettez à jour votre périmètre de service :

  1. Ajoutez vos projets de cluster et votre projet de parc au périmètre de service. Il n'est pas possible de répartir un maillage de services sur plusieurs périmètres VPC-SC.

  2. Ajoutez des services restreints au périmètre de service.

    Vous devez ajouter des services spécifiques aux listes de services autorisés et restreints dans le périmètre de service, afin que votre cluster Anthos Service Mesh puisse y accéder. L'accès à ces services est également restreint au sein du réseau de cloud privé virtuel (VPC) de votre cluster.

    Le fait de ne pas ajouter ces services peut faire échouer l'installation d'Anthos Service Mesh ou affecter son fonctionnement. Par exemple, si vous n'ajoutez pas l'API Mesh Configuration au périmètre de service, l'installation échouera et les charges de travail ne recevront pas leur configuration Envoy de la part du plan de contrôle géré.

    Console

    1. Pour modifier le périmètre, suivez les étapes décrites dans la section Mettre à jour un périmètre de service.
    2. Cliquez sur la page Modifier le périmètre de service VPC.
    3. Sous Services restreints, Services à protéger, cliquez sur Ajouter des services.
    4. Dans la boîte de dialogue Spécifier les services à limiter, cliquez sur Filtrer les services, puis saisissez API Mesh Configuration.
    5. Cochez la case du service.
    6. Cliquez sur Ajouter l'API Mesh Configuration.
    7. Répétez les étapes c à f pour ajouter les éléments suivants :
      • API Cloud Service Mesh Certificate Authority
      • API GKE Hub
      • API Cloud IAM
      • API Cloud Monitoring
      • Cloud Trace API
      • API Cloud Monitoring
      • API Google Cloud Resource Manager
      • API Cloud Run
      • Google Compute Engine API
      • API Google Container Registry
      • API Artifact Registry
      • API Google Cloud Storage
    8. Cliquez sur Enregistrer.

    gcloud

    Pour mettre à jour la liste des services limités, exécutez la commande update et spécifiez la liste des services à ajouter, séparés par une virgule :

    gcloud access-context-manager perimeters update PERIMETER_NAME \
      --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,gkehub.googleapis.com,iam.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,cloudresourcemanager.googleapis.com,run.googleapis.com,compute.googleapis.com,containerregistry.googleapis.com,artifactregistry.googleapis.com,storage.googleapis.com \
      --policy=POLICY_NAME

    Où :

    • PERIMETER_NAME est le nom du périmètre de service que vous souhaitez mettre à jour.

    • POLICY_NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :330193482019

  3. Cliquez sur le champ Services accessibles par VPC et définissez-le sur "Tous les services restreints" afin que les services restreints à l'étape ci-dessus soient toujours accessibles à partir du périmètre VPC-SC.

  4. À moins d'installer Anthos Service Mesh à partir d'un réseau de périmètre, ajoutez une règle d'entrée pour autoriser l'identité exécutant la commande asmcli à accéder au périmètre de service.

    Pour en savoir plus, consultez la section Mettre à jour un périmètre de service.

Installer Anthos Service Mesh géré dans un périmètre VPC-SC

Cette section ne nécessite pas de droits d'administrateur d'organisation, mais nécessite la conformité avec la règle VPC-SC. Vous devez utiliser l'option supplémentaire --use_vpcsc pendant l'installation. Sinon, VPC Security Controls ne sera pas entièrement appliqué au plan de contrôle. Si vous avez configuré la règle meshconfig.allowedVpcscModes comme indiqué, les tentatives d'installation sans l'option --use-vpcsc échoueront.

Suivez les étapes de la page Configurer Anthos Service Mesh géré. Vérifiez que le plan de contrôle a bien été provisionné et qu'aucune erreur n'est associée à VPC-SC.

Dépannage

Impossible de créer un cluster avec la dernière image GKE 1.22

Un problème connu empêche la création d'un cluster avec la dernière image 1.22 dans un environnement restreint VPC-SC. La solution consiste à créer d'abord ce cluster avec l'image du canal GKE par défaut, puis à mettre à jour l'image :

gcloud container clusters create CLUSTER \
  --region REGION \
  --release-channel=rapid \
  --workload-pool=PROJECT_ID.svc.id.goog \
  --project PROJECT_ID
gcloud container clusters upgrade CLUSTER \
  --region REGION \
  --master --cluster-version 1.22 \
  --project PROJECT_ID

Impossible de télécharger les images des conteneurs

Cela peut se produire si les images se trouvent en dehors du périmètre de service. Déplacez les images vers un bucket situé à l'intérieur du périmètre, ou mettez à jour le périmètre pour ajouter une règle de sortie. En règle générale, la règle de sortie peut autoriser les identités sélectionnées à accéder à l'API Container Registry, à l'API Artifact Registry et à l'API Cloud Storage.

Le champ "État" de l'objet CRD ControlPlaneRevision affiche des erreurs liées à VPC-SC

Cela peut se produire si vous n'avez pas utilisé l'option "--use-vpcsc" lors de l'installation. Dans ce cas, vous pouvez le relancer.

Sinon, exécutez cette commande pour obtenir plus d'informations sur l'erreur :

gcloud logging read --project=PROJECT_ID \
'protoPayload.metadata.@type=type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata'

Où :

  • PROJECT_ID est l'ID du projet qui rencontre des erreurs.