Mesh-CA einem Dienstperimeter hinzufügen

Wenn Sie in Ihrer Organisation einen Dienstperimeter erstellt haben, müssen Sie in den folgenden Fällen den Dienst für die Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) hinzufügen:

  • Der Cluster, auf dem Sie Anthos Service Mesh installiert haben, befindet sich in einem Projekt, das in einem Dienstperimeter enthalten ist.
  • Der Cluster, auf dem Sie Anthos Service Mesh installiert haben, ist ein Dienstprojekt in einem freigegebenen VPC-Netzwerk.

Wenn Sie dem Dienstperimeter keine Mesh CA hinzufügen, kann er keine Arbeitslastzertifikate ordnungsgemäß ausgeben. Nachdem Sie dem Dienstperimeter Mesh CA hinzugefügt haben, ist die Ausgabe von Workload Identity-Zertifikaten auf das VPC-Netzwerk (Virtual Private Cloud) Ihres Clusters beschränkt.

Hinweise

Die Einrichtung für den VPC Service Controls-Dienstperimeter erfolgt auf Organisationsebene. Prüfen Sie, ob Ihnen die entsprechenden Rollen für die Verwaltung von VPC Service Controls erteilt wurden.

Mesh CA einem vorhandenen Dienstperimeter hinzufügen

Console

  1. Zum Bearbeiten des Perimeters befolgen Sie die Schritte unter Dienstperimeter aktualisieren.
  2. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten unter Geschützte Dienste auf Dienste hinzufügen.
  3. Klicken Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen auf Filter-Services und geben Sie Cloud Service Mesh Certificate Authority API ein.
  4. Klicken Sie das Kästchen des Dienstes an.
  5. Klicken Sie auf Cloud Service Mesh Certificate Authority API hinzufügen.
  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \
  --policy=POLICY_NAME

Wobei:

  • PERIMETER_NAME ist der Name des Dienstperimeters, den Sie aktualisieren möchten.

  • OTHER_SERVICES ist eine optionale durch Kommas getrennte Liste mit einem oder mehreren Diensten, die neben meshca.googleapis.com im Perimeter enthalten sein sollen. Beispiel: meshca.googleapis.com,storage.googleapis.com oder meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019.

Weitere Informationen finden Sie unter Dienstperimeter aktualisieren.