Aggiunta dei servizi Anthos Service Mesh ai perimetri di servizio

Se hai creato un perimetro di servizio nella tua organizzazione, devi aggiungere al perimetro i servizi dell'autorità di certificazione Anthos Service Mesh (Mesh CA), del logging Strackdriver, di Cloud Monitoring e Cloud Trace, nei casi seguenti:

  • Il cluster su cui hai installato Anthos Service Mesh si trova in un progetto incluso in un perimetro di servizio.
  • Il cluster su cui hai installato Anthos Service Mesh è un progetto di servizio in una rete VPC condivisa.

Aggiungendo questi servizi al perimetro di servizio, il tuo cluster Anthos Service Mesh può accedervi. L'accesso ai servizi è limitato anche all'interno della rete Virtual Private Cloud (VPC) del tuo cluster.

La mancata aggiunta dei servizi sopra indicati potrebbe causare l'errore dell'installazione di Anthos Service Mesh o la mancanza delle funzioni. Ad esempio, se non aggiungi una CA mesh al perimetro di servizio, i carichi di lavoro non potranno ricevere certificati dalla CA mesh.

Prima di iniziare

La configurazione del perimetro di servizio dei Controlli di servizio VPC è a livello di organizzazione. Assicurati di aver ricevuto i ruoli appropriati per l'amministrazione dei Controlli di servizio VPC. Se hai più progetti, puoi applicare il perimetro di servizio a tutti i progetti aggiungendo ogni progetto al perimetro di servizio.

Aggiunta di servizi Anthos Service Mesh a un perimetro di servizio esistente

Console

  1. Segui i passaggi descritti in Aggiornamento di un perimetro di servizio per modificare il perimetro.
  2. Nella pagina Modifica perimetro di servizio VPC, in Servizi da proteggere, fai clic su Aggiungi servizi.
  3. Nella finestra di dialogo Specifica i servizi da limitare, fai clic su Filtra servizi e inserisci API Cloud Service Mesh Certificate Authority.
  4. Seleziona la casella di controllo del servizio.
  5. Fai clic su Aggiungi API Cloud Service Mesh Certificate Authority.
  6. Ripeti i passaggi 2-5 per aggiungere l'API Stackdriver Logging, l'API Cloud Trace e l'API Cloud Monitoring.
  7. Fai clic su Salva.

gcloud

Per aggiornare l'elenco dei servizi con restrizioni, utilizza il comando update e specifica i servizi da aggiungere come elenco delimitato da virgole:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com[,OTHER_SERVICES \
  --policy=POLICY_NAME

Dove:

  • PERIMETER_NAME è il nome del perimetro di servizio da aggiornare.

  • OTHER_SERVICES è un elenco facoltativo separato da virgole di uno o più servizi da includere nel perimetro oltre a meshca.googleapis.com. Ad esempio: meshca.googleapis.com,storage.googleapis.com o meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione. Ad esempio, 330193482019.

Per ulteriori informazioni, consulta Aggiornamento di un perimetro di servizio.