Ajouter des services Anthos Service Mesh aux périmètres de service

Si vous avez créé un périmètre de service dans votre organisation, vous devez ajouter l'autorité de certification (autorité de certification Anthos Service Mesh [Mesh CA] ou Certificate Authority Service), les services de journalisation Strackdriver, Cloud Monitoring et Cloud Trace dans le périmètre, dans les cas suivants :

  • Le cluster sur lequel vous avez installé Anthos Service Mesh se trouve dans un projet inclus dans un périmètre de service.
  • Le cluster sur lequel vous avez installé Anthos Service Mesh est un projet de service dans un réseau VPC partagé.

Le fait d'ajouter ces services au périmètre de service permet à votre cluster Anthos Service Mesh d'y accéder. L'accès aux services est également restreint au sein du réseau VPC (Virtual Private Cloud) de votre cluster.

Le fait de ne pas ajouter les services mentionnés ci-dessus peut faire échouer l'installation d'Anthos Service Mesh ou entraîner l'absence de certaines fonctionnalités. Par exemple, si vous n'ajoutez pas Mesh CA au périmètre de service, les charges de travail ne pourront pas obtenir de certificats auprès de Mesh CA.

Avant de commencer

Le périmètre de service VPC Service Controls est configuré au niveau de l'organisation. Assurez-vous que vous disposez des rôles appropriés pour l'administration de VPC Service Controls. Si vous avez plusieurs projets, vous pouvez appliquer le périmètre de service à tous les projets en ajoutant chaque projet au périmètre de service.

Ajouter des services Anthos Service Mesh à un périmètre de service existant

Console

  1. Pour modifier le périmètre, suivez les étapes décrites dans la section Mettre à jour un périmètre de service.
  2. Sur la page Modifier le périmètre de service VPC, sous Services à protéger, cliquez sur Ajouter des services.
  3. Dans la boîte de dialogue Spécifier les services à limiter, cliquez sur Filtrer les services. Selon l'autorité de certification que vous avez définie, saisissez l'API Cloud Service Mesh Certificate Authority ou l'API Certificate Authority Service.
  4. Cochez la case du service.
  5. Cliquez sur API Certificate Authority Service.
  6. Répétez les étapes 2 à 5 pour ajouter l'API Stackdriver Logging, l'API Cloud Trace et l'API Cloud Monitoring.
  7. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour la liste des services limités, exécutez la commande update et spécifiez la liste des services à ajouter, séparés par une virgule :

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

Où :

  • PERIMETER_NAME est le nom du périmètre de service que vous souhaitez mettre à jour.

  • OTHER_SERVICES est une liste facultative d'un ou de plusieurs services, séparés par une virgule, à inclure dans le périmètre en plus des services renseignés dans la commande précédente. Exemple : storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Par exemple, 330193482019.

Pour en savoir plus, consultez la section Mettre à jour un périmètre de service.