組織にサービス境界を作成しており、以下の状況に該当する場合は、Anthos Service Mesh 認証局(Mesh CA)、Stackdriver Logging、Cloud Monitoring、Cloud Trace サービスを境界に追加する必要があります。
- Anthos Service Mesh がインストールされたクラスタが、サービス境界に含まれているプロジェクトに作成されている場合。
- Anthos Service Mesh がインストールされているクラスタが、共有 VPC ネットワーク内のサービス プロジェクトの場合。
これらのサービスをサービス境界に追加すると、Anthos Service Mesh クラスタがこれらのサービスにアクセスできるようになります。サービスへのアクセスは、クラスタの Virtual Private Cloud(VPC)ネットワーク内でも制限されます。
上述のサービスを追加しないと、Anthos Service Mesh のインストールが失敗するか、機能が欠落する場合があります。たとえば、サービス境界に Mesh CA を追加しない場合、ワークロードは Mesh CA から証明書を取得できません。
始める前に
VPC Service Controls サービス境界の設定は組織レベルで行います。VPC Service Controls の管理に必要なロールが付与されていることを確認してください。複数のプロジェクトがある場合は、各プロジェクトをサービス境界に追加することによって、すべてのプロジェクトにサービス境界を適用できます。
既存のサービス境界への Anthos Service Mesh サービスの追加
Console
- サービス境界の更新の手順に沿って境界を編集します。
- [VPC サービス境界の編集] ページの [保護するサービス] で、[サービスを追加] をクリックします。
- [制限するサービスの指定] ダイアログで [フィルタ サービス] をクリックし、「Cloud Service Mesh Certificate Authority API」と入力します。
- サービスのチェックボックスをオンにします。
- [Cloud Service Mesh Certificate Authority API を追加] をクリックします。
- 手順 2~5 を繰り返して、Stackdriver Logging API、Cloud Trace API、Cloud Monitoring API を追加します。
- [保存] をクリックします。
gcloud
制限付きサービスのリストを更新するには、update
コマンドを使用して、追加するサービスをカンマ区切りリストとして指定します。
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com[,OTHER_SERVICES \ --policy=POLICY_NAME
ここで
PERIMETER_NAME は、更新するサービス境界の名前です。
OTHER_SERVICES は、
meshca.googleapis.com
に加えて、境界に含める 1 つ以上のサービスのカンマ区切りのリストです。例:meshca.googleapis.com,storage.googleapis.com
またはmeshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com
。POLICY_NAME は組織のアクセス ポリシーの名前です。例:
330193482019
詳細については、サービス境界の更新をご覧ください。