次の場合は、組織のサービス境界に Anthos Service Mesh 認証局(Mesh CA)サービスを追加する必要があります。
- Anthos Service Mesh がインストールされたクラスタが、サービス境界に含まれているプロジェクトに作成されている場合。
- Anthos Service Mesh がインストールされているクラスタが、共有 VPC ネットワーク内のサービス プロジェクトの場合。
サービス境界に Mesh CA を追加しないと、ワークロードの証明書を正しく発行できません。Mesh CA をサービス境界に追加した後、ワークロード ID 証明書の発行はクラスタの Virtual Private Cloud(VPC)ネットワーク内に制限されます。
始める前に
VPC Service Controls サービス境界の設定は組織レベルで行います。VPC Service Controls の管理に必要なロールが付与されていることを確認してください。
既存のサービス境界への Mesh CA の追加
Console
- サービス境界の更新の手順に沿って境界を編集します。
- [VPC サービス境界の編集] ページの [保護するサービス] で、[サービスを追加] をクリックします。
- [制限するサービスの指定] ダイアログで [フィルタ サービス] をクリックし、「Cloud Service Mesh Certificate Authority API」と入力します。
- サービスのチェックボックスをオンにします。
- [Cloud Service Mesh Certificate Authority API を追加] をクリックします。
- [保存] をクリックします。
gcloud
制限付きサービスのリストを更新するには、update
コマンドを使用して、追加するサービスをカンマ区切りリストとして指定します。
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \ --policy=POLICY_NAME
ここで
PERIMETER_NAME は、更新するサービス境界の名前です。
OTHER_SERVICES は、
meshca.googleapis.com
に加えて、境界に含める 1 つ以上のサービスのカンマ区切りのリストです。例:meshca.googleapis.com,storage.googleapis.com
またはmeshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com
。POLICY_NAME は組織のアクセス ポリシーの名前です。例:
330193482019
詳細については、サービス境界の更新をご覧ください。