将 Cloud Service Mesh(集群内)服务添加到服务边界
如果您创建了 服务边界 组织,您必须将 证书授权机构 (Cloud Service Mesh 证书授权机构或 Certificate Authority Service)、Mesh Configuration Stackdriver Logging、Cloud Monitoring 和 Cloud Trace 服务 在下列情况下:
- 安装了 Cloud Service Mesh 的集群位于包含在服务边界内的项目中。
- 安装了 Cloud Service Mesh 的集群 共享 VPC 网络中的服务项目。
将这些服务添加到服务边界后,您的 Cloud Service Mesh 可以访问这些服务对相应服务的访问权限也受到限制 虚拟私有云 (VPC) 网络中。
如果不添加上述服务,可能会导致 Cloud Service Mesh 安装失败或功能丢失。例如,如果您不 将 Cloud Service Mesh 证书授权机构添加到服务边界,则工作负载无法获取 Cloud Service Mesh 证书授权机构颁发的证书。
准备工作
VPC Service Controls 服务边界的设置在组织级别进行。请确保您已被授予适当的管理 VPC Service Controls 的角色。 如果您有多个项目,可以将每个项目添加到服务边界内,从而将服务边界应用于所有项目。
将 Cloud Service Mesh 服务添加到现有服务边界
控制台
- 按照更新服务边界中的步骤修改边界。
- 在修改 VPC 服务边界页面上的要保护的服务下,点击添加服务。
- 在指定要限制的服务对话框中,点击过滤服务。根据您的证书授权机构 (CA),输入 Cloud Service Mesh Certificate Authority API 或 Certificate Authority Service API。
- 选中相应服务的复选框。
- 点击添加 Cloud Service Mesh Certificate Authority API (Add Cloud Service Mesh Certificate Authority API)。
- 重复第 2 步到第 5 步,以添加:
- Mesh Configuration API
- Cloud Monitoring API
- Cloud Trace API
- 点击保存。
gcloud
如需更新受限服务的列表,请使用 update
命令并以英文逗号分隔的列表形式指定要添加的服务:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
其中:
PERIMETER_NAME 是要更新的服务边界的名称。
OTHER_SERVICES 是一个可选的逗号分隔列表,其中包含除了在上述命令中填充的服务以外,要纳入该边界的一个或多个服务。例如:
storage.googleapis.com,bigquery.googleapis.com
。POLICY_NAME 是您的组织的访问权限政策的数字名称。例如
330193482019
。
如需了解详情,请参阅更新服务边界。