将 Cloud Service Mesh(集群内)服务添加到 服务边界

如果您创建了 服务边界 组织,您必须将 证书授权机构 (Cloud Service Mesh 证书授权机构或 Certificate Authority Service)、Mesh Configuration Stackdriver Logging、Cloud Monitoring 和 Cloud Trace 服务 在下列情况下:

  • 安装了 Cloud Service Mesh 的集群位于项目中 属于服务边界内的资源
  • 安装了 Cloud Service Mesh 的集群是共享 VPC 网络中的服务项目

将这些服务添加到服务边界后,您的 Cloud Service Mesh 可以访问这些服务对相应服务的访问权限也受到限制 虚拟私有云 (VPC) 网络中。

如果不添加上述服务,可能会导致 Cloud Service Mesh 安装失败或导致函数缺失。例如,如果您不 将 Cloud Service Mesh 证书授权机构添加到服务边界,则工作负载无法获取 Cloud Service Mesh 证书授权机构颁发的证书。

准备工作

VPC Service Controls 服务边界的设置在组织级别进行。请确保您已被授予适当的管理 VPC Service Controls 的角色。 如果您有多个项目,可以将每个项目添加到服务边界内,从而将服务边界应用于所有项目。

将 Cloud Service Mesh 服务添加到现有服务边界

控制台

  1. 按照更新服务边界中的步骤修改边界。
  2. 修改 VPC 服务边界页面上的要保护的服务下,点击添加服务
  3. 指定要限制的服务对话框中,点击过滤服务。根据您的证书授权机构 (CA),输入 Cloud Service Mesh Certificate Authority APICertificate Authority Service API
  4. 选中相应服务的复选框。
  5. 点击添加 Cloud Service Mesh Certificate Authority API (Add Cloud Service Mesh Certificate Authority API)。
  6. 重复第 2 步到第 5 步,以添加:
    • Mesh Configuration API
    • Cloud Monitoring API
    • Cloud Trace API
  7. 点击保存

gcloud

如需更新受限服务的列表,请使用 update 命令并以英文逗号分隔的列表形式指定要添加的服务:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

其中:

  • PERIMETER_NAME 是要更新的服务边界的名称。

  • OTHER_SERVICES 是一个可选的逗号分隔列表,其中包含除了在上述命令中填充的服务以外,要纳入该边界的一个或多个服务。例如:storage.googleapis.com,bigquery.googleapis.com

  • POLICY_NAME 是您的组织的访问权限政策的数字名称。例如 330193482019

如需了解详情,请参阅更新服务边界