Como adicionar serviços do Cloud Service Mesh aos perímetros de serviço

do tipo

Se você criou um perímetro de serviço na sua organização, adicione a Autoridade de certificação (autoridade de certificação do Cloud Service Mesh ou Certificate Authority Service), a configuração da malha, a geração de registros do Stackdriver, o Cloud Monitoring e os serviços do Cloud Trace ao perímetro nos seguintes casos:

  • O cluster em que você instalou o Cloud Service Mesh está em um projeto que está incluído em um perímetro de serviço.
  • O cluster em que o Cloud Service Mesh foi instalado é um projeto de serviço em uma rede VPC compartilhada.

Ao adicionar esses serviços ao perímetro de serviço, o cluster do Cloud Service Mesh pode acessar esses serviços. O acesso aos serviços também é restrito na rede de nuvem privada virtual (VPC) do cluster.

Não adicionar os serviços mencionados pode causar falha na instalação do Cloud Service Mesh ou perda de funções. Por exemplo, se você não adicionar a autoridade de certificação do Cloud Service Mesh ao perímetro de serviço, as cargas de trabalho não poderão receber certificados dessa autoridade.

Antes de começar

A configuração do perímetro de serviço do VPC Service Controls está no nível da organização. Verifique se você recebeu os papéis adequados para administrar o VPC Service Controls. Se você tiver vários projetos, aplique o perímetro de serviço a todos os projetos adicionando-os ao perímetro.

Como adicionar serviços do Cloud Service Mesh a um perímetro de serviço atual

Console

  1. Siga as etapas em Como atualizar um perímetro de serviço para editar o perímetro.
  2. Na página Editar perímetro de serviço VPC, em Serviços a serem protegidos, clique em Adicionar serviços.
  3. Na caixa de diálogo Especificar serviços a serem restringidos, clique em Filtrar serviços. Dependendo da autoridade de certificação (CA, na sigla em inglês), digite a API Cloud Service Mesh Certificate Authority ou a API Certificate Authority Service.
  4. Marque a caixa de seleção do serviço.
  5. Clique em Adicionar API Cloud Service Mesh Certificate Authority.
  6. Repita as etapas de 2 a 5 para adicionar estas informações:
    • API Mesh Configuration
    • API Cloud Monitoring
    • Cloud Trace API
  7. Clique em Salvar.

gcloud

Para atualizar a lista de serviços restritos, use o comando update e especifique os serviços a serem adicionados como uma lista delimitada por vírgulas:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

Em que:

  • PERIMETER_NAME é o nome do perímetro de serviço que você quer atualizar.

  • OTHER_SERVICES é uma lista opcional separada por vírgulas de um ou mais serviços a serem incluídos no perímetro, além dos serviços preenchidos no comando anterior. Por exemplo, storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME é o nome numérico da política de acesso da sua organização. Por exemplo, 330193482019.

Consulte Como atualizar um perímetro de serviço para mais informações.