Agrega servicios de Cloud Service Mesh (en el clúster) al perímetros de servicio
Si creaste un perímetro de servicio en tu en tu organización, debes agregar el Autoridad certificadora (autoridad certificadora de la malla de servicios de Cloud o Certificate Authority Service), configuración de la malla, los servicios de Stackdriver Logging, Cloud Monitoring y Cloud Trace al perímetro de servicio, en los siguientes casos:
- El clúster en el que instalaste Cloud Service Mesh se encuentra en un proyecto que se incluye en un perímetro de servicio.
- El clúster en el que instalaste Cloud Service Mesh es un proyecto de servicio en una red de VPC compartida.
Cuando se agregan estos servicios al perímetro de servicio, el clúster de Cloud Service Mesh puede acceder a ellos. El acceso a los servicios también está restringido dentro de la red de la nube privada virtual (VPC) de tu clúster.
Si no agregas los servicios mencionados anteriormente, es posible que Cloud Service Mesh o hacer que falten funciones. Por ejemplo, si no agregar una autoridad certificadora de la malla de servicios de Cloud al perímetro de servicio, las cargas de trabajo no pueden certificados de la autoridad certificadora de Cloud Service Mesh.
Antes de comenzar
La configuración para el perímetro de servicio de los Controles del servicio de VPC se encuentra a nivel de la organización. Asegúrate de que se te hayan otorgado las funciones adecuadas para administrar los Controles del servicio de VPC. Si tienes varios proyectos, puedes aplicar el perímetro de servicio a todos los proyectos si agregas cada proyecto al perímetro de servicio.
Agrega los servicios de Cloud Service Mesh a un perímetro de servicio existente
Console
- Sigue los pasos de la sección sobre cómo actualizar un perímetro de servicio para editar el perímetro.
- En la página Editar Perímetro de servicio de VPC, en Servicios que se protegerán, haz clic en Agregar servicios.
- En el cuadro de diálogo Especifica los servicios que deseas restringir, haz clic en Filtrar servicios. Según tu autoridad certificadora (CA), ingresa la API de la autoridad certificadora de Cloud Service Mesh o la API de Certificate Authority Service.
- Selecciona la casilla de verificación del servicio.
- Haz clic en Agregar API de la autoridad certificada de Cloud Service Mesh.
- Repite los pasos 2 a 5 para agregar lo siguiente:
- API de configuración de malla
- Cloud Monitoring API
- Cloud Trace API
- Haz clic en Guardar.
gcloud
Para actualizar la lista de servicios restringidos, usa el comando update
y especifica los servicios que deseas agregar como una lista delimitada por comas:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
Aquí:
PERIMETER_NAME es el nombre del perímetro de servicio que deseas actualizar.
OTHER_SERVICES es una lista opcional separada por comas de uno o más servicios que se deben incluir en el perímetro, además de los servicios propagados en el comando anterior. Por ejemplo:
storage.googleapis.com,bigquery.googleapis.com
POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo,
330193482019
.
Consulta la sección sobre cómo actualizar un perímetro de servicio para obtener información adicional.