Ajouter des services Cloud Service Mesh (dans le cluster) périmètres de service
Si vous avez créé un périmètre de service dans votre organisation, vous devez ajouter Autorité de certification (autorité de certification Cloud Service Mesh ou Certificate Authority Service), configuration du réseau maillé, Stackdriver Logging, Cloud Monitoring et Cloud Trace périmètre, dans les cas suivants:
- Le cluster sur lequel vous avez installé Cloud Service Mesh se trouve dans un projet inclus dans un périmètre de service.
- Le cluster sur lequel vous avez installé Cloud Service Mesh est un projet de service dans un réseau VPC partagé.
Le fait d'ajouter ces services au périmètre de service permet à votre cluster Cloud Service Mesh d'y accéder. L'accès aux services est également restreint au sein du réseau VPC (Virtual Private Cloud) de votre cluster.
Le fait de ne pas ajouter les services mentionnés ci-dessus peut faire échouer l'installation de Cloud Service Mesh ou entraîner l'absence de certaines fonctionnalités. Par exemple, si vous ne ajouter l'autorité de certification Cloud Service Mesh au périmètre de service, les charges de travail ne peuvent pas de l'autorité de certification Cloud Service Mesh.
Avant de commencer
Le périmètre de service VPC Service Controls est configuré au niveau de l'organisation. Assurez-vous que vous disposez des rôles appropriés pour l'administration de VPC Service Controls. Si vous avez plusieurs projets, vous pouvez appliquer le périmètre de service à tous les projets en ajoutant chaque projet au périmètre de service.
Ajouter des services Cloud Service Mesh à un périmètre de service existant
Console
- Pour modifier le périmètre, suivez les étapes décrites dans la section Mettre à jour un périmètre de service.
- Sur la page Modifier le périmètre de service VPC, sous Services à protéger, cliquez sur Ajouter des services.
- Dans la boîte de dialogue Spécifier les services à limiter, cliquez sur Filtrer les services. Selon l'autorité de certification que vous avez définie, saisissez l'API Cloud Service Mesh Certificate Authority ou l'API Certificate Authority Service.
- Cochez la case du service.
- Cliquez sur Ajouter l'API Cloud Service Mesh Certificate Authority.
- Répétez les étapes 2 à 5 pour ajouter :
- API Mesh Configuration
- API Cloud Monitoring
- Cloud Trace API
- Cliquez sur Enregistrer.
gcloud
Pour mettre à jour la liste des services limités, exécutez la commande update
et spécifiez la liste des services à ajouter, séparés par une virgule :
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
Où :
PERIMETER_NAME est le nom du périmètre de service que vous souhaitez mettre à jour.
OTHER_SERVICES est une liste facultative d'un ou de plusieurs services, séparés par une virgule, à inclure dans le périmètre en plus des services renseignés dans la commande précédente. Exemple :
storage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Exemple :
330193482019
Pour en savoir plus, consultez la section Mettre à jour un périmètre de service.