Menambahkan Mesh CA ke perimeter layanan

Jika telah membuat perimeter layanan di organisasi, Anda harus menambahkan layanan certificate authority (Mesh CA) Anthos Service Mesh ke perimeter, dalam kasus berikut:

  • Cluster tempat Anda menginstal Anthos Service Mesh berada dalam project yang disertakan dalam perimeter layanan.
  • Cluster tempat Anda menginstal Anthos Service Mesh adalah project layanan di Jaringan VPC Bersama.

Jika Anda tidak menambahkan Mesh CA ke perimeter layanan, sertifikat beban kerja tidak akan diterbitkan dengan benar. Setelah Anda menambahkan Mesh CA ke perimeter layanan, penerbitan sertifikat workload identity dibatasi hanya dalam jaringan Virtual Private Cloud (VPC) cluster Anda.

Sebelum memulai

Penyiapan perimeter layanan VPC Service Controls berada pada tingkat organisasi. Pastikan Anda telah diberi peran yang tepat untuk mengelola Kontrol Layanan VPC.

Menambahkan Mesh CA ke perimeter layanan yang ada

Konsol

  1. Ikuti langkah-langkah di Memperbarui perimeter layanan untuk mengedit perimeter.
  2. Di halaman Edit VPC Service Perimeter, di bagian Services to proteksi, klik Tambahkan Layanan.
  3. Pada dialog Specify services to restricted, klik Filter services, lalu masukkan Cloud Service Mesh Certificate Authority API.
  4. Pilih kotak centang layanan.
  5. Klik Add Cloud Service Mesh Certificate Authority API.
  6. Klik Simpan.

gcloud

Untuk memperbarui daftar layanan yang dibatasi, gunakan perintah update dan tentukan layanan yang akan ditambahkan sebagai daftar yang dipisahkan koma:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \
  --policy=POLICY_NAME

Dengan keterangan:

  • PERIMETER_NAME adalah nama perimeter layanan yang ingin Anda update.

  • OTHER_SERVICES adalah daftar opsional yang dipisahkan koma dari satu atau beberapa layanan untuk disertakan dalam perimeter selain meshca.googleapis.com. Misalnya: meshca.googleapis.com,storage.googleapis.com atau meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME adalah nama numerik kebijakan akses organisasi Anda. Contoh, 330193482019.

Lihat Memperbarui perimeter layanan untuk mengetahui informasi selengkapnya.