如果您在您的组织中创建了服务边界,则在以下情况下必须将 Anthos Service Mesh 证书授权机构 (Mesh CA) 服务添加到该边界:
- 安装了 Anthos Service Mesh 的集群位于包含在服务边界内的项目中。
- 安装了 Anthos Service Mesh 的集群是共享 VPC 网络中的服务项目。
如果您不将 Mesh CA 添加到服务边界,则 Mesh CA 无法正确地颁发工作负载证书。将 Mesh CA 添加到服务边界后,工作负载身份证书仅限于在您的集群的 Virtual Private Cloud (VPC) 网络内颁发。
准备工作
VPC Service Controls 服务边界的设置在组织级别进行。请确保您已被授予适当的管理 VPC Service Controls 的角色。
将 Mesh CA 添加到现有服务边界
控制台
- 按照更新服务边界中的步骤修改边界。
- 在修改 VPC 服务边界页面上的要保护的服务下,点击添加服务。
- 在指定要限制的服务对话框中,点击过滤服务,然后输入 Cloud Service Mesh Certificate Authority API。
- 选中相应服务的复选框。
- 点击添加 Cloud Service Mesh Certificate Authority API (Add Cloud Service Mesh Certificate Authority API)。
- 点击保存。
gcloud
如需更新受限服务的列表,请使用 update 命令并以英文逗号分隔的列表形式指定要添加的服务:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com[,OTHER_SERVICES \ --policy=POLICY_NAME
其中:
PERIMETER_NAME 是要更新的服务边界的名称。
OTHER_SERVICES 是一个可选的英文逗号分隔列表,其中包含要纳入该边界的一个或多个服务以及
meshca.googleapis.com。例如meshca.googleapis.com,storage.googleapis.com或meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com。POLICY_NAME 是您的组织的访问权限政策的数字名称。例如
330193482019。
如需了解详情,请参阅更新服务边界。