Controlli di servizio VPC per Anthos Service Mesh gestito

Anthos Service Mesh gestito supporta Controlli di servizio VPC (VPC-SC) come funzionalità in disponibilità generale (GA) nel canale rapido per i cluster GKE con una release superiore o uguale a 1.22.1-gke.100.

Prima di iniziare

Il criterio dell'organizzazione e il perimetro di servizio VPC-SC sono configurati a livello di organizzazione. Assicurati di aver ricevuto i ruoli corretti per l'amministrazione di VPC-SC.

Configura il perimetro di servizio VPC-SC

Crea o aggiorna il perimetro di servizio:

  1. Aggiungi i progetti del cluster e il progetto del parco risorse al perimetro di servizio. Non è supportato un mesh di servizi distribuito in più perimetri VPC-SC.

  2. Aggiungi servizi limitati al perimetro di servizio.

    Devi aggiungere servizi specifici agli elenchi di servizi consentiti e limitati nel perimetro di servizio, in modo che il cluster Anthos Service Mesh possa accedervi. L'accesso a questi servizi è limitato anche all'interno della rete VPC (Virtual Private Cloud) del cluster.

    La mancata aggiunta di questi servizi potrebbe causare l'errore di installazione di Anthos Service Mesh o il funzionamento non corretto. Ad esempio, se non aggiungi l'API Mesh Configuration al perimetro di servizio, l'installazione non andrà a buon fine e i carichi di lavoro non riceveranno la configurazione Envoy dal piano di controllo gestito.

    Console

    1. Segui i passaggi in Aggiornare un perimetro di servizio per modificare il perimetro.
    2. Fai clic sulla pagina Modifica perimetro di servizio VPC.
    3. In Servizi limitati, Servizi da proteggere, fai clic su Aggiungi servizi.
    4. Nella finestra di dialogo Specifica i servizi da limitare, fai clic su Filtra i servizi e inserisci API Mesh Configuration.
    5. Seleziona la casella di controllo del servizio.
    6. Fai clic su Aggiungi l'API Mesh Configuration.
    7. Ripeti i passaggi c-f per aggiungere:
      • API Cloud Service Mesh Certificate Authority
      • API GKE Hub
      • API Cloud IAM
      • API Cloud Monitoring
      • API Cloud Trace
      • API Cloud Monitoring
      • API Google Cloud Resource Manager
      • API Cloud Run
      • API Google Compute Engine
      • API Google Container Registry
      • API Artifact Registry
      • API Google Cloud Storage
    8. Fai clic su Salva.

    gcloud

    Per aggiornare l'elenco dei servizi limitati, utilizza il comando update e specifica i servizi da aggiungere come elenco delimitato da virgole:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,gkehub.googleapis.com,iam.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,cloudresourcemanager.googleapis.com,run.googleapis.com,compute.googleapis.com,containerregistry.googleapis.com,artifactregistry.googleapis.com,storage.googleapis.com \
  --policy=POLICY_NAME

    Dove:

    • PERIMETER_NAME è il nome del perimetro di servizio da aggiornare.

    • POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione. Ad esempio, 330193482019.

  3. Fai clic su Servizi accessibili tramite VPC e impostalo su "Tutti i servizi limitati", in modo che i servizi limitati nel passaggio precedente siano ancora accessibili dall'interno del perimetro VPC-SC.

  4. A meno che tu non stia installando Anthos Service Mesh da una rete nel perimetro, aggiungi una regola in entrata per consentire all'identità che esegue il comando asmcli di accedere al perimetro di servizio.

    Per maggiori informazioni, consulta Aggiornare un perimetro di servizio.

Installa Anthos Service Mesh gestito in un perimetro VPC-SC

Segui i passaggi nella pagina Configurare Anthos Service Mesh gestito. Poi, verifica che il provisioning del piano di controllo sia stato eseguito correttamente e che non siano presenti errori relativi a VPC-SC.

Risoluzione dei problemi

Impossibile creare un cluster con l'immagine GKE 1.22 più recente

Si è verificato un problema noto che impedisce la creazione di un cluster con l'immagine 1.22 più recente in un ambiente limitato VPC-SC. La soluzione alternativa consiste nel creare prima questo cluster con l'immagine del canale GKE predefinita, quindi eseguire l'upgrade dell'immagine:

gcloud container clusters create CLUSTER \
  --region REGION \
  --release-channel=rapid \
  --workload-pool=PROJECT_ID.svc.id.goog \
  --project PROJECT_ID
gcloud container clusters upgrade CLUSTER \
  --region REGION \
  --master --cluster-version 1.22 \
  --project PROJECT_ID

I container non possono scaricare le proprie immagini.

Questo può accadere se le immagini si trovano all'esterno del perimetro di servizio. Spostare le immagini in un bucket situato all'interno del perimetro o aggiornare il perimetro per aggiungere una regola in uscita. In genere, la regola in uscita potrebbe consentire alle identità selezionate di accedere all'API Container Registry, all'API Artifact Registry e all'API Cloud Storage.

Il campo Stato del CRD ControlPlaneRevision mostra gli errori VPC-SC

Esegui questo comando per avere maggiori informazioni sull'errore:

gcloud logging read --project=PROJECT_ID \
'protoPayload.metadata.@type=type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata'

Dove:

  • PROJECT_ID è l'ID del progetto che presenta errori.