Agrega la CA de Mesh a un perímetro de servicio

Si creaste un perímetro de servicio en tu organización, debes agregar la autoridad certificada de Anthos Service Mesh (CA de Mesh) al perímetro, en los siguientes casos:

  • El clúster en el que instalaste Anthos Service Mesh se encuentra en un proyecto incluido en un perímetro de servicio.
  • El clúster en el que instalaste Anthos Service Mesh es un proyecto de servicio de una red de VPC compartida.

Si no agregas la CA de Mesh al perímetro de servicio, no puede emitir certificados de carga de trabajo de manera correcta. Después de agregar la CA de Mesh al perímetro de servicio, la emisión de certificados de identidad de carga de trabajo se restringe a la red de nube privada virtual (VPC) de tu clúster.

Antes de comenzar

La configuración para el perímetro de servicio de los Controles del servicio de VPC se encuentra a nivel de la organización. Asegúrate de que se te hayan otorgado las funciones adecuadas para administrar los Controles del servicio de VPC.

Agrega la CA de Mesh a un perímetro de servicio existente

Consola

  1. Sigue los pasos de la sección sobre cómo actualizar un perímetro de servicio para editar el perímetro.
  2. En la página Editar Perímetro de servicio de VPC, en Servicios que se protegerán, haz clic en Agregar servicios.
  3. En el cuadro de diálogo Especificar los servicios que deseas restringir, haz clic en Filtrar servicios y, luego, ingresa la API de la autoridad certificada de Cloud Service Mesh.
  4. Selecciona la casilla de verificación del servicio.
  5. Haz clic en Agregar API de la autoridad certificada de Cloud Service Mesh.
  6. Haz clic en Guardar.

gcloud

Para actualizar la lista de servicios restringidos, usa el comando update y especifica los servicios que deseas agregar como una lista delimitada por comas:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \
  --policy=POLICY_NAME

Donde:

  • PERIMETER_NAME es el nombre del perímetro de servicio que deseas actualizar.

  • OTHER_SERVICES es una lista separada por comas opcional de uno o más servicios que se deben incluir en el perímetro, además de meshca.googleapis.com. Por ejemplo, meshca.googleapis.com,storage.googleapis.com o meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019

Consulta Actualiza un perímetro de servicio para obtener información adicional.