조직에 서비스 경계를 만들었으면 다음과 같은 경우에 인증 기관(Anthos Service Mesh 인증 기관(Mesh CA) 또는 Certificate Authority Service), Strackdriver Logging, Cloud Monitoring, Cloud Trace 서비스를 경계에 추가해야 합니다.
- Anthos Service Mesh를 설치한 클러스터가 서비스 경계에 포함된 프로젝트에 있습니다.
- Anthos Service Mesh를 설치한 클러스터가 공유 VPC 네트워크의 서비스 프로젝트입니다.
이러한 서비스를 서비스 경계에 추가하면 Anthos Service Mesh 클러스터가 이러한 서비스에 액세스할 수 있습니다. 서비스에 대한 액세스는 클러스터의 Virtual Private Cloud(VPC) 네트워크 내에서도 제한됩니다.
앞서 언급한 서비스를 추가하지 않으면 Anthos Service Mesh 설치가 실패하거나 기능이 누락될 수 있습니다. 예를 들어 Mesh CA를 서비스 경계에 추가하지 않으면 워크로드가 Mesh CA에서 인증서를 가져올 수 없습니다.
시작하기 전에
VPC 서비스 제어 서비스 경계의 설정은 조직 수준에서 수행됩니다. VPC 서비스 제어를 관리하는 데 필요한 적절한 역할을 부여받았는지 확인합니다. 여러 프로젝트가 있는 경우 각 프로젝트를 서비스 경계에 추가하여 모든 프로젝트에 서비스 경계를 적용할 수 있습니다.
기존 서비스 경계에 Anthos Service Mesh 서비스 추가
Console
- 서비스 경계 업데이트의 단계에 따라 경계를 수정합니다.
- VPC 서비스 경계 수정 페이지의 보호할 서비스에서 서비스 추가를 클릭합니다.
- 제한할 서비스 지정 대화상자에서 서비스 필터링을 클릭합니다. 인증 기관(CA)에 따라 Cloud Service Mesh Certificate Authority API 또는 Certificate Authority Service API를 입력합니다.
- 서비스 체크박스를 선택합니다.
- Certificate Authority Service API를 클릭합니다.
- 2~5단계를 반복하여 Stackdriver Logging API, Cloud Trace API, Cloud Monitoring API를 추가합니다.
- 저장을 클릭합니다.
gcloud
제한된 서비스 목록을 업데이트하려면 update 명령어를 사용하여 쉼표로 구분된 목록으로 추가할 서비스를 지정합니다.
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
각 항목의 의미는 다음과 같습니다.
PERIMETER_NAME은 업데이트할 서비스 경계의 이름입니다.
OTHER_SERVICES는 앞의 명령어에 채워진 서비스 외에도 경계에 포함할 서비스 하나 이상에 대한 쉼표로 구분된 목록입니다(선택사항). 예를 들면
storage.googleapis.com,bigquery.googleapis.com입니다.POLICY_NAME은 조직의 액세스 정책의 숫자 이름입니다. 예를 들면
330193482019입니다.
자세한 내용은 서비스 경계 업데이트를 참조하세요.