Kontrol Layanan VPC untuk Managed Anthos Service Mesh

Anthos Service Mesh Terkelola mendukung Kontrol Layanan VPC (VPC-SC) sebagai fitur yang tersedia secara umum (GA) di saluran cepat, untuk cluster GKE dengan rilis yang lebih besar atau sama dengan 1.22.1-gke.100.

Sebelum memulai

Kebijakan org dan perimeter layanan VPC-SC dikonfigurasi di tingkat organisasi. Pastikan Anda telah diberi peran yang tepat untuk mengelola VPC-SC.

Menyiapkan perimeter layanan VPC-SC

Buat atau perbarui perimeter layanan Anda:

  1. Tambahkan project cluster dan project fleet Anda ke perimeter layanan. Memiliki mesh layanan yang tersebar di beberapa perimeter VPC-SC tidak didukung.

  2. Menambahkan layanan yang dibatasi ke perimeter layanan.

    Anda harus menambahkan layanan tertentu ke daftar layanan yang diizinkan dan dibatasi di perimeter layanan, sehingga cluster Anthos Service Mesh Anda dapat mengaksesnya. Akses ke layanan ini juga dibatasi dalam jaringan Virtual Private Cloud (VPC) cluster Anda.

    Tidak menambahkan layanan ini dapat menyebabkan penginstalan Anthos Service Mesh gagal atau tidak berfungsi dengan benar. Misalnya, jika Anda tidak menambahkan Mesh Configuration API ke perimeter layanan, penginstalan akan gagal dan beban kerja tidak akan menerima konfigurasi Envoy-nya dari bidang kontrol terkelola.

    Konsol

    1. Ikuti langkah-langkah dalam artikel Memperbarui perimeter layanan untuk mengedit perimeter.
    2. Klik halaman Edit VPC Service Perimeter.
    3. Di bagian Restricted Services, Services to protected, klik Add Services.
    4. Pada dialog Tentukan layanan yang akan dibatasi, klik Filter services, lalu masukkan Mesh Configuration API.
    5. Pilih kotak centang layanan.
    6. Klik Add Mesh Configuration API.
    7. Ulangi langkah c - f untuk menambahkan:
      • Cloud Service Mesh Certificate Authority API
      • GKE Hub API
      • Cloud IAM API
      • Cloud Monitoring API
      • API Cloud Trace
      • Cloud Monitoring API
      • API Google Cloud Resource Manager
      • Cloud Run API
      • API Google Compute Engine
      • Google Container Registry API
      • Artifact Registry API
      • API Google Cloud Storage
    8. Klik Save.

    gcloud

    Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update dan tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,gkehub.googleapis.com,iam.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,cloudresourcemanager.googleapis.com,run.googleapis.com,compute.googleapis.com,containerregistry.googleapis.com,artifactregistry.googleapis.com,storage.googleapis.com \
  --policy=POLICY_NAME

    Dengan keterangan:

    • PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda update.

    • POLICY_NAME adalah nama numerik kebijakan akses organisasi Anda. Contoh, 330193482019.

  3. Klik VPC Accessible services dan setel ke 'All restricted services', sehingga layanan yang dibatasi pada langkah di atas masih dapat diakses dari dalam perimeter VPC-SC.

  4. Kecuali jika Anda menginstal Anthos Service Mesh dari jaringan dalam perimeter, tambahkan aturan masuk untuk mengizinkan identitas yang menjalankan akses perintah asmcli ke perimeter layanan.

    Untuk mengetahui informasi selengkapnya, lihat Memperbarui perimeter layanan.

Menginstal Anthos Service Mesh terkelola di perimeter VPC-SC

Ikuti langkah-langkah di halaman Mengonfigurasi Anthos Service Mesh terkelola. Kemudian, pastikan bidang kontrol telah berhasil disediakan dan tidak ada error terkait VPC-SC.

Pemecahan masalah

Tidak dapat membuat cluster dengan image GKE 1.22 terbaru

Ada masalah umum yang mencegah pembuatan cluster dengan image 1.22 terbaru di lingkungan yang dibatasi VPC-SC. Solusinya adalah membuat cluster ini terlebih dahulu dengan image saluran GKE default, lalu mengupgrade image tersebut:

gcloud container clusters create CLUSTER \
  --region REGION \
  --release-channel=rapid \
  --workload-pool=PROJECT_ID.svc.id.goog \
  --project PROJECT_ID
gcloud container clusters upgrade CLUSTER \
  --region REGION \
  --master --cluster-version 1.22 \
  --project PROJECT_ID

Container tidak dapat mendownload image-nya.

Hal ini dapat terjadi jika image berada di luar perimeter layanan. Pindahkan image ke bucket yang terletak di dalam perimeter, atau perbarui perimeter untuk menambahkan aturan Traffic keluar. Biasanya, aturan Keluar dapat mengizinkan identitas yang dipilih untuk mengakses Container Registry API, Artifact Registry API, dan Cloud Storage API.

Kolom Status dalam CRD ControlPlaneRevision menampilkan error VPC-SC

Jalankan perintah ini untuk mendapatkan info selengkapnya tentang error tersebut:

gcloud logging read --project=PROJECT_ID \
'protoPayload.metadata.@type=type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata'

Dengan keterangan:

  • PROJECT_ID adalah project ID untuk project yang mengalami error.