조직에서 서비스 경계를 만든 경우 다음과 같은 경우에 Anthos Service Mesh 인증 기관(Mesh CA) 서비스를 경계에 추가해야 합니다.
- Anthos Service Mesh를 설치한 클러스터가 서비스 경계에 포함된 프로젝트에 있습니다.
- Anthos Service Mesh를 설치한 클러스터가 공유 VPC 네트워크의 서비스 프로젝트입니다.
Mesh CA를 서비스 경계에 추가하지 않으면 워크로드 인증서를 올바르게 발급할 수 없습니다. Mesh CA를 서비스 경계에 추가하면 워크로드 아이덴티티 인증서의 발급이 클러스터의 Virtual Private Cloud(VPC) 네트워크로 제한됩니다.
시작하기 전에
VPC 서비스 제어 서비스 경계의 설정은 조직 수준에서 수행됩니다. VPC 서비스 제어를 관리하는 데 필요한 적절한 역할을 부여받았는지 확인합니다.
기존 서비스 경계에 Mesh CA 추가
콘솔
- 서비스 경계 업데이트의 단계에 따라 경계를 수정합니다.
- VPC 서비스 경계 수정 페이지의 보호할 서비스에서 서비스 추가를 클릭합니다.
- 제한할 서비스 지정 대화상자에서 서비스 필터링을 클릭하고 Cloud Service Mesh Certificate Authority API를 입력합니다.
- 서비스 체크박스를 선택합니다.
- Cloud Service Mesh Certificate Authority API 추가를 클릭합니다.
- 저장을 클릭합니다.
gcloud
제한된 서비스 목록을 업데이트하려면 update 명령어를 사용하여 쉼표로 구분된 목록으로 추가할 서비스를 지정합니다.
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \ --policy=POLICY_NAME
각 항목의 의미는 다음과 같습니다.
PERIMETER_NAME은 업데이트할 서비스 경계의 이름입니다.
OTHER_SERVICES는
meshca.googleapis.com뿐만 아니라 경계에 포함할 하나 이상의 서비스의 쉼표로 구분된 목록입니다(선택사항). 예를 들면meshca.googleapis.com,storage.googleapis.com또는meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com입니다.POLICY_NAME은 조직의 액세스 정책의 숫자 이름입니다. 예를 들면
330193482019입니다.
자세한 내용은 서비스 경계 업데이트를 참조하세요.