Ajouter le CA du maillage à un périmètre de service

Si vous avez créé un périmètre de service dans votre organisation, vous devez y ajouter le service d'autorité de certification Anthos Service Mesh (Mesh CA) dans les cas suivants :

  • Le cluster sur lequel vous avez installé Anthos Service Mesh se trouve dans un projet inclus dans un périmètre de service.
  • Le cluster sur lequel vous avez installé Anthos Service Mesh est un projet de service dans un réseau VPC partagé.

Si vous n'ajoutez pas Mesh CA au périmètre de service, il ne peut pas émettre correctement de certificats de charge de travail. Une fois que vous avez ajouté Mesh CA au périmètre de service, l'émission des certificats d'identité de charge de travail est limitée au réseau cloud privé virtuel (VPC, Virtual Private Cloud) de votre cluster.

Avant de commencer

Le périmètre de service VPC Service Controls est configuré au niveau de l'organisation. Assurez-vous que vous disposez des rôles appropriés pour l'administration de VPC Service Controls.

Ajouter Mesh CA à un périmètre de service existant

Console

  1. Pour modifier le périmètre, suivez les étapes décrites dans la section Mettre à jour un périmètre de service.
  2. Sur la page Modifier le périmètre de service VPC, sous Services à protéger, cliquez sur Ajouter des services.
  3. Dans la boîte de dialogue Spécifier les services à limiter, cliquez sur Filtrer les services, puis saisissez API Cloud Service Mesh Certificate Authority.
  4. Cochez la case du service.
  5. Cliquez sur Ajouter l'API Cloud Service Mesh Certificate Authority.
  6. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour la liste des services limités, exécutez la commande update et spécifiez la liste des services à ajouter, séparés par une virgule :

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \
  --policy=POLICY_NAME

Où :

  • PERIMETER_NAME est le nom du périmètre de service que vous souhaitez mettre à jour.

  • OTHER_SERVICES est une liste facultative d'un ou de plusieurs services, séparés par une virgule, à inclure dans le périmètre en plus de meshca.googleapis.com. Par exemple, meshca.googleapis.com,storage.googleapis.com ou meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME est le nom (au format numérique) de la règle d'accès de votre organisation. Par exemple, 330193482019.

Pour en savoir plus, consultez la section Mettre à jour un périmètre de service.