서비스 경계에 Cloud Service Mesh 서비스 추가
조직에 서비스 경계를 만들었으면 다음과 같은 경우에 인증 기관(Cloud Service Mesh 인증 기관 또는 Certificate Authority Service), 메시 구성, Stackdriver Logging, Cloud Monitoring, Cloud Trace 서비스를 경계에 추가해야 합니다.
- Cloud Service Mesh를 설치한 클러스터는 서비스 경계에 포함된 프로젝트에 있습니다.
- Cloud Service Mesh를 설치한 클러스터는 공유 VPC 네트워크의 서비스 프로젝트입니다.
이러한 서비스를 서비스 경계에 추가하면 Cloud Service Mesh 클러스터에서 이러한 서비스에 액세스할 수 있습니다. 서비스에 대한 액세스는 클러스터의 Virtual Private Cloud(VPC) 네트워크 내에서도 제한됩니다.
앞서 언급한 서비스를 추가하지 않으면 Cloud Service Mesh 설치가 실패하거나 기능이 누락될 수 있습니다. 예를 들어 Cloud Service Mesh 인증 기관을 서비스 경계에 추가하지 않으면 워크로드가 Cloud Service Mesh 인증 기관에서 인증서를 가져올 수 없습니다.
시작하기 전에
VPC 서비스 제어 서비스 경계의 설정은 조직 수준에서 수행됩니다. VPC 서비스 제어를 관리하는 데 필요한 적절한 역할을 부여받았는지 확인합니다. 여러 프로젝트가 있는 경우 각 프로젝트를 서비스 경계에 추가하여 모든 프로젝트에 서비스 경계를 적용할 수 있습니다.
기존 서비스 경계에 Cloud Service Mesh 서비스 추가
Console
- 서비스 경계 업데이트의 단계에 따라 경계를 수정합니다.
- VPC 서비스 경계 수정 페이지의 보호할 서비스에서 서비스 추가를 클릭합니다.
- 제한할 서비스 지정 대화상자에서 서비스 필터링을 클릭합니다. 인증 기관(CA)에 따라 Cloud Service Mesh Certificate Authority API 또는 Certificate Authority Service API를 입력합니다.
- 서비스 체크박스를 선택합니다.
- Cloud Service Mesh Certificate Authority API 추가를 클릭합니다.
- 2~5단계를 반복하여 다음을 추가합니다.
- Mesh Configuration API
- Cloud Monitoring API
- Cloud Trace API
- 저장을 클릭합니다.
gcloud
제한된 서비스 목록을 업데이트하려면 update
명령어를 사용하여 쉼표로 구분된 목록으로 추가할 서비스를 지정합니다.
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
각 항목의 의미는 다음과 같습니다.
PERIMETER_NAME은 업데이트할 서비스 경계의 이름입니다.
OTHER_SERVICES는 앞의 명령어에 채워진 서비스 외에도 경계에 포함할 서비스 하나 이상에 대한 쉼표로 구분된 목록입니다(선택사항). 예를 들면
storage.googleapis.com,bigquery.googleapis.com
입니다.POLICY_NAME은 조직의 액세스 정책의 숫자 이름입니다. 예를 들면
330193482019
입니다.
자세한 내용은 서비스 경계 업데이트를 참조하세요.