将 Cloud Service Mesh 服务添加到服务边界

如果您在组织中创建了服务边界,则在以下情况下必须将证书授权机构(Cloud Service Mesh 证书授权机构或 Certificate Authority Service)、Mesh 配置、Stackdriver 日志记录、Cloud Monitoring 和 Cloud Trace 服务添加到该边界:

  • 安装了 Cloud Service Mesh 的集群位于 包含在服务边界内
  • 安装了 Cloud Service Mesh 的集群是一个服务项目。 在共享 VPC 网络中。

将这些服务添加到服务边界后,您的 Cloud Service Mesh 集群 可以访问这些服务。但仅可在集群的 Virtual Private Cloud (VPC) 网络内访问这些服务。

如果不添加上述服务,可能会导致 Cloud Service Mesh 安装失败或功能丢失。例如,如果您不将 Cloud Service Mesh 证书授权机构添加到服务边界,工作负载将无法从 Cloud Service Mesh 证书授权机构获取证书。

准备工作

VPC Service Controls 服务边界的设置在组织级别进行。请确保您已被授予适当的管理 VPC Service Controls 的角色。 如果您有多个项目,可以将每个项目添加到服务边界内,从而将服务边界应用于所有项目。

将 Cloud Service Mesh 服务添加到现有服务边界

控制台

  1. 按照更新服务边界中的步骤修改边界。
  2. 修改 VPC 服务边界页面上的要保护的服务下,点击添加服务
  3. 指定要限制的服务对话框中,点击过滤服务。根据您的证书授权机构 (CA),输入 Cloud Service Mesh Certificate Authority APICertificate Authority Service API
  4. 选中相应服务的复选框。
  5. 点击添加 Cloud Service Mesh Certificate Authority API (Add Cloud Service Mesh Certificate Authority API)。
  6. 重复第 2 步到第 5 步,以添加:
    • Mesh Configuration API
    • Cloud Monitoring API
    • Cloud Trace API
  7. 点击保存

gcloud

如需更新受限服务的列表,请使用 update 命令并以英文逗号分隔的列表形式指定要添加的服务:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

其中:

  • PERIMETER_NAME 是要更新的服务边界的名称。

  • OTHER_SERVICES 是一个可选的逗号分隔列表,其中包含除了在上述命令中填充的服务以外,要纳入该边界的一个或多个服务。例如:storage.googleapis.com,bigquery.googleapis.com

  • POLICY_NAME 是您的组织的访问权限政策的数字名称。例如 330193482019

如需了解详情,请参阅更新服务边界