Como adicionar serviços do Anthos Service Mesh aos perímetros de serviço

Se você tiver criado um perímetro de serviço na sua organização, adicione a Autoridade certificadora (autoridade certificadora do Anthos Service Mesh (CA do Mesh) ou Certificate Authority Service), o Mesh Configuration, a geração de registros do Stackdriver, o Cloud Monitoring e os serviços do Cloud Trace ao perímetro, nos casos a seguir:

  • O cluster em que o Anthos Service Mesh foi instalado está em um projeto incluído em um perímetro de serviço.
  • O cluster em que o Anthos Service Mesh foi instalado é um projeto de serviço em uma rede VPC compartilhada.

Ao adicionar esses serviços ao perímetro, o cluster do Anthos Service Mesh pode acessá-los. O acesso aos serviços também é restrito na rede de nuvem privada virtual (VPC) do cluster.

Não adicionar os serviços mencionados acima pode causar falhas na instalação do Anthos Service Mesh ou causar a perda de funções. Por exemplo, se você não adicionar a CA da malha ao perímetro de serviço, as cargas de trabalho não poderão receber certificados da CA da malha.

Antes de começar

A configuração do perímetro de serviço do VPC Service Controls está no nível da organização. Verifique se você recebeu os papéis adequados para administrar o VPC Service Controls. Se você tiver vários projetos, aplique o perímetro de serviço a todos os projetos adicionando-os ao perímetro.

Como adicionar serviços do Anthos Service Mesh a um perímetro de serviço existente

Console

  1. Siga as etapas em Como atualizar um perímetro de serviço para editar o perímetro.
  2. Na página Editar perímetro de serviço VPC, em Serviços a serem protegidos, clique em Adicionar serviços.
  3. Na caixa de diálogo Especificar serviços a serem restringidos, clique em Filtrar serviços. Dependendo da autoridade de certificação (CA, na sigla em inglês), digite a API Cloud Service Mesh Certificate Authority ou a API Certificate Authority Service.
  4. Marque a caixa de seleção do serviço.
  5. Clique em Adicionar API Cloud Service Mesh Certificate Authority.
  6. Repita as etapas de 2 a 5 para adicionar estas informações:
    • API Mesh Configuration
    • API Cloud Monitoring
    • Cloud Trace API
    • API Cloud Monitoring
  7. Clique em Save.

gcloud

Para atualizar a lista de serviços restritos, use o comando update e especifique os serviços a serem adicionados como uma lista delimitada por vírgulas:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

Em que:

  • PERIMETER_NAME é o nome do perímetro de serviço que você quer atualizar.

  • OTHER_SERVICES é uma lista opcional separada por vírgulas de um ou mais serviços a serem incluídos no perímetro, além dos serviços preenchidos no comando anterior. Por exemplo, storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME é o nome numérico da política de acesso da sua organização. Por exemplo, 330193482019.

Consulte Como atualizar um perímetro de serviço para mais informações.