Como adicionar serviços do Anthos Service Mesh aos perímetros de serviço

Se você tiver criado um perímetro de serviço na organização, será necessário adicionar a autoridade de certificação do Anthos Service Mesh (Mesh CA), a geração de registros do Strackdriver, o Cloud Monitoring e os serviços do Cloud Trace ao perímetro, nos seguintes casos:

  • O cluster em que o Anthos Service Mesh foi instalado está em um projeto incluído em um perímetro de serviço.
  • O cluster em que o Anthos Service Mesh foi instalado é um projeto de serviço em uma rede VPC compartilhada.

Ao adicionar esses serviços ao perímetro, o cluster do Anthos Service Mesh pode acessá-los. O acesso aos serviços também é restrito na rede de nuvem privada virtual (VPC) do cluster.

Não adicionar os serviços mencionados acima pode causar falhas na instalação do Anthos Service Mesh ou causar a perda de funções. Por exemplo, se você não adicionar a CA da malha ao perímetro de serviço, as cargas de trabalho não poderão receber certificados da CA da malha.

Antes de começar

A configuração do perímetro de serviço do VPC Service Controls está no nível da organização. Verifique se você recebeu os papéis adequados para administrar o VPC Service Controls. Se você tiver vários projetos, aplique o perímetro de serviço a todos os projetos adicionando-os ao perímetro.

Como adicionar serviços do Anthos Service Mesh a um perímetro de serviço existente

Console

  1. Siga as etapas em Como atualizar um perímetro de serviço para editar o perímetro.
  2. Na página Editar perímetro de serviço VPC, em Serviços a serem protegidos, clique em Adicionar serviços.
  3. Na caixa de diálogo Especificar serviços a serem restringidos, clique em Filtrar serviços e digite API Cloud Service Mesh Certificate Authority.
  4. Marque a caixa de seleção do serviço.
  5. Clique em Adicionar API Cloud Service Mesh Certificate Authority.
  6. Repita as etapas 2 a 5 para adicionar a API Stackdriver Logging, a API Cloud Trace e a API Cloud Monitoring.
  7. Clique em Save.

gcloud

Para atualizar a lista de serviços restritos, use o comando update e especifique os serviços a serem adicionados como uma lista delimitada por vírgulas:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,monitoring.googleapis.com[,OTHER_SERVICES \
  --policy=POLICY_NAME

Em que:

  • PERIMETER_NAME é o nome do perímetro de serviço que você quer atualizar.

  • OTHER_SERVICES é uma lista opcional separada por vírgulas de um ou mais serviços a serem incluídos no perímetro, além de meshca.googleapis.com. Por exemplo, meshca.googleapis.com,storage.googleapis.com ou meshca.googleapis.com,storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME é o nome numérico da política de acesso da sua organização. Por exemplo, 330193482019.

Consulte Como atualizar um perímetro de serviço para mais informações.