Wenn Sie in Ihrer Organisation einen Dienstperimeter erstellt haben, müssen Sie in den folgenden Fällen den Dienst für die Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) hinzufügen:
- Der Cluster, auf dem Sie Anthos Service Mesh installiert haben, befindet sich in einem Projekt, das in einem Dienstperimeter enthalten ist.
- Der Cluster, auf dem Sie Anthos Service Mesh installiert haben, ist ein Dienstprojekt in einem freigegebenen VPC-Netzwerk.
Wenn Sie dem Dienstperimeter keine Mesh CA hinzufügen, kann er keine Arbeitslastzertifikate ordnungsgemäß ausgeben. Nachdem Sie dem Dienstperimeter Mesh CA hinzugefügt haben, ist die Ausgabe von Workload Identity-Zertifikaten auf das VPC-Netzwerk (Virtual Private Cloud) Ihres Clusters beschränkt.
Hinweise
Die Einrichtung für den VPC Service Controls-Dienstperimeter erfolgt auf Organisationsebene. Prüfen Sie, ob Ihnen die entsprechenden Rollen für die Verwaltung von VPC Service Controls erteilt wurden.
Mesh CA einem vorhandenen Dienstperimeter hinzufügen
Console
- Zum Bearbeiten des Perimeters befolgen Sie die Schritte unter Dienstperimeter aktualisieren.
- Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten unter Geschützte Dienste auf Dienste hinzufügen.
- Klicken Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen auf Filter-Services und geben Sie Cloud Service Mesh Certificate Authority API ein.
- Klicken Sie das Kästchen des Dienstes an.
- Klicken Sie auf Cloud Service Mesh Certificate Authority API hinzufügen.
- Klicken Sie auf Speichern.
gcloud
Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl update
und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \ --policy=POLICY_NAME
Wobei:
PERIMETER_NAME ist der Name des Dienstperimeters, den Sie aktualisieren möchten.
OTHER_SERVICES ist eine optionale durch Kommas getrennte Liste mit einem oder mehreren Diensten, die neben
meshca.googleapis.com
im Perimeter enthalten sein sollen. Beispiel:meshca.googleapis.com,storage.googleapis.com
odermeshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel:
330193482019
.
Weitere Informationen finden Sie unter Dienstperimeter aktualisieren.