Adicionar serviços do Cloud Service Mesh aos perímetros de serviço

Se tiver criado um perímetro de serviço na sua organização, tem de adicionar os serviços autoridade de certificação (autoridade de certificação do Cloud Service Mesh ou serviço de autoridade de certificação), configuração da malha, registo do Stackdriver, Cloud Monitoring e Cloud Trace ao perímetro nos seguintes casos:

  • O cluster no qual instalou o Cloud Service Mesh está num projeto que está incluído num perímetro de serviço.
  • O cluster no qual instalou o Cloud Service Mesh é um projeto de serviço numa rede de VPC partilhada.

Ao adicionar estes serviços ao perímetro de serviço, o cluster do Cloud Service Mesh pode aceder a estes serviços. O acesso aos serviços também é restrito na rede de nuvem virtual privada (VPC) do cluster.

Se não adicionar os serviços mencionados acima, a instalação do Cloud Service Mesh pode falhar ou podem faltar funções. Por exemplo, se não adicionar a autoridade de certificação do Cloud Service Mesh ao perímetro de serviço, as cargas de trabalho não podem obter certificados da autoridade de certificação do Cloud Service Mesh.

Antes de começar

A configuração do perímetro de serviço do VPC Service Controls está ao nível da organização. Certifique-se de que lhe foram concedidas as funções adequadas para administrar os VPC Service Controls. Se tiver vários projetos, pode aplicar o perímetro de serviço a todos os projetos adicionando cada projeto ao perímetro de serviço.

Adicionar serviços da Cloud Service Mesh a um perímetro de serviço existente

Consola

  1. Siga os passos em Atualizar um perímetro de serviço para editar o perímetro.
  2. Na página Editar perímetro de serviço da VPC, em Serviços a proteger, clique em Adicionar serviços.
  3. Na caixa de diálogo Especificar serviços a restringir, clique em Filtrar serviços. Consoante a sua autoridade de certificação (AC), introduza a API Cloud Service Mesh Certificate Authority ou a API Certificate Authority Service.
  4. Selecione a caixa de verificação do serviço.
  5. Clique em Adicionar API da autoridade de certificação do Cloud Service Mesh.
  6. Repita os passos 2 a 5 para adicionar:
    • API Mesh Configuration
    • API Cloud Monitoring
    • API Cloud Trace
  7. Clique em Guardar.

gcloud

Para atualizar a lista de serviços restritos, use o comando update e especifique os serviços a adicionar como uma lista delimitada por vírgulas:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

Onde:

  • PERIMETER_NAME é o nome do perímetro de serviço que quer atualizar.

  • OTHER_SERVICES é uma lista opcional separada por vírgulas de um ou mais serviços a incluir no perímetro, além dos serviços preenchidos no comando anterior. Por exemplo: storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME é o nome numérico da política de acesso da sua organização. Por exemplo, 330193482019.

Consulte o artigo Atualizar um perímetro de serviço para ver informações adicionais.