조직에서 서비스 경계를 만들었다면 다음과 같은 경우 Anthos Service Mesh 인증 기관(Mesh CA), Strackdriver 로깅, Cloud Monitoring, Cloud Trace 서비스를 추가해야 합니다.
- Anthos Service Mesh를 설치한 클러스터가 서비스 경계에 포함된 프로젝트에 있습니다.
- Anthos Service Mesh를 설치한 클러스터가 공유 VPC 네트워크의 서비스 프로젝트입니다.
이러한 서비스를 서비스 경계에 추가하면 Anthos Service Mesh 클러스터가 이러한 서비스에 액세스할 수 있습니다. 서비스에 대한 액세스는 클러스터의 Virtual Private Cloud(VPC) 네트워크 내에서도 제한됩니다.
앞서 언급한 서비스를 추가하지 않으면 Anthos Service Mesh 설치가 실패하거나 기능이 누락될 수 있습니다. 예를 들어 Mesh CA를 서비스 경계에 추가하지 않으면 워크로드가 Mesh CA에서 인증서를 가져올 수 없습니다.
시작하기 전에
VPC 서비스 제어 서비스 경계의 설정은 조직 수준에서 수행됩니다. VPC 서비스 제어를 관리하는 데 필요한 적절한 역할을 부여받았는지 확인합니다. 여러 프로젝트가 있는 경우 각 프로젝트를 서비스 경계에 추가하여 모든 프로젝트에 서비스 경계를 적용할 수 있습니다.
기존 서비스 경계에 Anthos Service Mesh 서비스 추가
Console
- 서비스 경계 업데이트의 단계에 따라 경계를 수정합니다.
- VPC 서비스 경계 수정 페이지의 보호할 서비스에서 서비스 추가를 클릭합니다.
- 제한할 서비스 지정 대화상자에서 서비스 필터링을 클릭하고 Cloud Service Mesh Certificate Authority API를 입력합니다.
- 서비스 체크박스를 선택합니다.
- Cloud Service Mesh Certificate Authority API 추가를 클릭합니다.
- 2~5단계를 반복하여 Stackdriver Logging API, Cloud Trace API, Cloud Monitoring API를 추가합니다.
- 저장을 클릭합니다.
gcloud
제한된 서비스 목록을 업데이트하려면 update 명령어를 사용하여 쉼표로 구분된 목록으로 추가할 서비스를 지정합니다.
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com[,OTHER_SERVICES \ --policy=POLICY_NAME
각 항목의 의미는 다음과 같습니다.
PERIMETER_NAME은 업데이트할 서비스 경계의 이름입니다.
OTHER_SERVICES는
meshca.googleapis.com뿐만 아니라 경계에 포함할 하나 이상의 서비스의 쉼표로 구분된 목록입니다(선택사항). 예를 들면meshca.googleapis.com,storage.googleapis.com또는meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com입니다.POLICY_NAME은 조직의 액세스 정책의 숫자 이름입니다. 예를 들면
330193482019입니다.
자세한 내용은 서비스 경계 업데이트를 참조하세요.