サービス境界への Anthos Service Mesh サービスの追加

組織にサービス境界を作成した場合は、次のケースで認証局(Anthos Service Mesh 認証局(Mesh CA)または Certificate Authority Service)、メッシュ構成、Stackdriver Logging、Cloud Monitoring、Cloud Trace のサービスを境界に追加する必要があります。

  • Anthos Service Mesh がインストールされたクラスタが、サービス境界に含まれているプロジェクトに作成されている場合。
  • Anthos Service Mesh がインストールされているクラスタが、共有 VPC ネットワーク内のサービス プロジェクトの場合。

これらのサービスをサービス境界に追加すると、Anthos Service Mesh クラスタがこれらのサービスにアクセスできるようになります。サービスへのアクセスは、クラスタの Virtual Private Cloud(VPC)ネットワーク内でも制限されます。

上述のサービスを追加しないと、Anthos Service Mesh のインストールが失敗するか、機能が欠落する場合があります。たとえば、サービス境界に Mesh CA を追加しない場合、ワークロードは Mesh CA から証明書を取得できません。

始める前に

VPC Service Controls サービス境界の設定は組織レベルで行います。VPC Service Controls の管理に必要なロールが付与されていることを確認してください。複数のプロジェクトがある場合は、各プロジェクトをサービス境界に追加することによって、すべてのプロジェクトにサービス境界を適用できます。

既存のサービス境界への Anthos Service Mesh サービスの追加

Console

  1. サービス境界の更新の手順に沿って境界を編集します。
  2. [VPC サービス境界の編集] ページの [保護するサービス] で、[サービスを追加] をクリックします。
  3. [制限するサービスの指定] ダイアログで [フィルタ サービス] をクリックします。認証局(CA)に応じて、「Cloud Service Mesh Certificate Authority API」または「Certificate Authority Service API」と入力します。
  4. サービスのチェックボックスをオンにします。
  5. [Cloud Service Mesh Certificate Authority API を追加] をクリックします。
  6. 手順 2~5 を繰り返して、以下を追加します。
    • Mesh Configuration API
    • Cloud Monitoring API
    • Cloud Trace API
    • Cloud Monitoring API
  7. [保存] をクリックします。

gcloud

制限付きサービスのリストを更新するには、update コマンドを使用して、追加するサービスをカンマ区切りリストとして指定します。

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

ここで

  • PERIMETER_NAME は、更新するサービス境界の名前です。

  • OTHER_SERVICES は、前のコマンドで入力したサービスに加えて、境界に含める 1 つ以上のサービスのカンマ区切りのリストです。例: storage.googleapis.com,bigquery.googleapis.com

  • POLICY_NAME は組織のアクセス ポリシーの名前です。例: 330193482019

詳細については、サービス境界の更新をご覧ください。