Jika telah membuat perimeter layanan di organisasi, Anda harus menambahkan layanan Certificate Authority (Anthos Service Mesh certificate authority (Mesh CA) atau Certificate Authority Service)), Logging Strackdriver, Cloud Monitoring, dan Cloud Trace ke perimeter, dalam kasus berikut:
- Cluster tempat Anda menginstal Anthos Service Mesh berada dalam project yang disertakan dalam perimeter layanan.
- Cluster tempat Anda menginstal Anthos Service Mesh adalah project layanan di Jaringan VPC Bersama.
Dengan menambahkan layanan ini ke perimeter layanan, cluster Anthos Service Mesh Anda dapat mengakses layanan ini. Akses ke layanan juga dibatasi dalam jaringan Virtual Private Cloud (VPC) cluster Anda.
Tidak menambahkan layanan yang disebutkan di atas dapat menyebabkan penginstalan Anthos Service Mesh gagal atau menyebabkan hilangnya fungsi. Misalnya, jika Anda tidak menambahkan Mesh CA ke perimeter layanan, workload tidak bisa mendapatkan sertifikat dari Mesh CA.
Sebelum memulai
Penyiapan perimeter layanan VPC Service Controls berada pada tingkat organisasi. Pastikan Anda telah diberi peran yang tepat untuk mengelola Kontrol Layanan VPC. Jika memiliki beberapa project, Anda dapat menerapkan perimeter layanan ke semua project dengan menambahkan setiap project ke perimeter layanan.
Menambahkan layanan Anthos Service Mesh ke perimeter layanan yang ada
Konsol
- Ikuti langkah-langkah di Memperbarui perimeter layanan untuk mengedit perimeter.
- Di halaman Edit VPC Service Perimeter, di bagian Services to proteksi, klik Tambahkan Layanan.
- Pada dialog Specify services to restricted, klik Filter services. Bergantung pada Certificate Authority (CA) Anda, masukkan Cloud Service Mesh Certificate Authority API atau Certificate Authority Service API.
- Pilih kotak centang layanan.
- Klik Certificate Authority Service API.
- Ulangi langkah 2-5 untuk menambahkan Stackdriver Logging API, Cloud Trace API, dan Cloud Monitoring API.
- Klik Simpan.
gcloud
Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update
dan
tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
Dengan keterangan:
PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda update.
OTHER_SERVICES adalah daftar opsional yang dipisahkan koma dari satu atau beberapa layanan untuk disertakan dalam perimeter selain layanan yang diisi dalam perintah sebelumnya. Contoh:
storage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME adalah nama numerik kebijakan akses organisasi Anda. Contoh,
330193482019
.
Lihat Memperbarui perimeter layanan untuk mengetahui informasi selengkapnya.