Configurare i riferimenti tra progetti

Questo documento si applica solo a Cloud Service Mesh con le API di routing dei servizi Google Cloud. Non usare questo documento se stai configurando Cloud Service Mesh con le API Istio.

In alcuni scenari, la configurazione del mesh di servizi include servizi che in progetti diversi. Ad esempio, nel VPC condiviso o in VPC in peering di deployment, ogni proprietario del progetto può definire il proprio set per renderli disponibili a tutti gli altri progetti.

Configurazione tra progetti con risorse Mesh
Configurazione tra progetti con Mesh risorse (fai clic per ingrandire)

Questa configurazione è chiamata tra progetti perché più risorse definite in progetti diversi vengono combinate per formare una singola configurazione che può essere inviata a un proxy Envoy o a un client gRPC senza proxy.

Le seguenti istruzioni utilizzano le risorse Mesh e HTTPRoute, ma può essere applicato alla risorsa Gateway e Risorse GRPCRoute e TCPRoute.

Configurazione della risorsa Mesh

Designa un progetto come progetto host in cui amministrare la risorsa Mesh. Qualsiasi account di servizio con le autorizzazioni per creare, aggiornare o eliminare risorse Mesh in questo progetto può controllare le configurazioni di routing associate alle risorse Mesh in questo progetto.

  1. Nel file shared-mesh.yaml, crea una specifica Mesh.

    name: shared-mesh
    interceptionPort: 15001
    
  2. Definisci una risorsa Mesh in questo progetto.

    gcloud network-services meshes import shared-mesh \
      --source=shared-mesh.yaml \
      --location=global
    
  3. Annota l'URI completo della risorsa Mesh, perché i proprietari del servizio necessario l'URI per collegare le proprie route a questo Mesh.

    /projects/[HOST_PROJECT_NUMBER]/locations/global/meshes/shared-mesh
    
  4. Concedi l'autorizzazione IAM networkservices.meshes.use per questo Mesh agli account di servizio tra progetti che devono essere in grado di allegare le proprie informazioni sui servizi a questo Mesh.

    gcloud projects add-iam-policy-binding [HOST_PROJECT_NUMBER]
      --member='[HTTP_ROUTE_SERVICE_OWNER_ACCOUNT]'
      --role='roles/compute.networkAdmin'
    

Tutti i proprietari di servizi a cui è stata concessa l'networkservices.meshes.use autorizzazione possono aggiungere le proprie regole di routing a questa Mesh risorsa.

Configurare il routing nei progetti di servizio

Ogni proprietario di servizio deve creare uno o più servizi di backend e risorse Route nel proprio progetto, in modo simile all'esempio riportato nella guida alla configurazione dei proxy sidecar. L'unica differenza è che ogni HTTPRoute, GRPCRoute o TCPRoute La risorsa deve avere l'URI della risorsa Mesh del progetto host in meshes .

  1. Usa il codice seguente per compilare il campo meshes. Puoi utilizzare l'ID progetto o il numero del progetto.

    echo "name: sharedvpc-http-route
    hostnames:
    - helloworld-gce
    meshes:
    - /projects/[HOST_PROJECT_NUMBER]/locations/global/meshes/shared-mesh
    rules:
    - action:
        destinations:
        - serviceName: \"url/of/the/service\"" | \
    gcloud network-services http-routes import sharedvpc-http-route \
        --source=- \
        --location=global
    

Crea i servizi client nei progetti di servizio

Quando configuri un client Cloud Service Mesh che si trova in un progetto di servizio, la configurazione di bootstrap deve specificare il numero di progetto in cui si trova la risorsa Mesh e il nome Mesh. Questo requisito si applica sia a proxy Envoy e deployment gRPC senza proxy. Con i deployment di Envoy, utilizza l'opzione --service-proxy:project-number.

Passaggi successivi

  • Per informazioni su come elencare le risorse di percorso associate a una risorsa Mesh o Gateway, consulta Elenca le risorse Route. Questa funzionalità è in anteprima.