Como adicionar serviços do Anthos Service Mesh aos perímetros de serviço
Se você tiver criado um perímetro de serviço na sua organização, adicione a Autoridade certificadora (autoridade certificadora do Anthos Service Mesh (CA do Mesh) ou Certificate Authority Service), o Mesh Configuration, a geração de registros do Stackdriver, o Cloud Monitoring e os serviços do Cloud Trace ao perímetro, nos casos a seguir:
- O cluster em que o Anthos Service Mesh foi instalado está em um projeto incluído em um perímetro de serviço.
- O cluster em que o Anthos Service Mesh foi instalado é um projeto de serviço em uma rede VPC compartilhada.
Ao adicionar esses serviços ao perímetro, o cluster do Anthos Service Mesh pode acessá-los. O acesso aos serviços também é restrito na rede de nuvem privada virtual (VPC) do cluster.
Não adicionar os serviços mencionados acima pode causar falhas na instalação do Anthos Service Mesh ou causar a perda de funções. Por exemplo, se você não adicionar a CA da malha ao perímetro de serviço, as cargas de trabalho não poderão receber certificados da CA da malha.
Antes de começar
A configuração do perímetro de serviço do VPC Service Controls está no nível da organização. Verifique se você recebeu os papéis adequados para administrar o VPC Service Controls. Se você tiver vários projetos, aplique o perímetro de serviço a todos os projetos adicionando-os ao perímetro.
Como adicionar serviços do Anthos Service Mesh a um perímetro de serviço existente
Console
- Siga as etapas em Como atualizar um perímetro de serviço para editar o perímetro.
- Na página Editar perímetro de serviço VPC, em Serviços a serem protegidos, clique em Adicionar serviços.
- Na caixa de diálogo Especificar serviços a serem restringidos, clique em Filtrar serviços. Dependendo da autoridade de certificação (CA, na sigla em inglês), digite a API Cloud Service Mesh Certificate Authority ou a API Certificate Authority Service.
- Marque a caixa de seleção do serviço.
- Clique em Adicionar API Cloud Service Mesh Certificate Authority.
- Repita as etapas de 2 a 5 para adicionar estas informações:
- API Mesh Configuration
- API Cloud Monitoring
- Cloud Trace API
- API Cloud Monitoring
- Clique em Save.
gcloud
Para atualizar a lista de serviços restritos, use o comando update
e
especifique os serviços a serem adicionados como uma lista delimitada por vírgulas:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
Em que:
PERIMETER_NAME é o nome do perímetro de serviço que você quer atualizar.
OTHER_SERVICES é uma lista opcional separada por vírgulas de um ou mais serviços a serem incluídos no perímetro, além dos serviços preenchidos no comando anterior. Por exemplo,
storage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME é o nome numérico da política de acesso da sua organização. Por exemplo,
330193482019
.
Consulte Como atualizar um perímetro de serviço para mais informações.