Aggiunta di servizi Cloud Service Mesh (in-cluster) ai perimetri di servizio

Se hai creato un perimetro di servizio nella organizzazione, devi aggiungere al perimetro la autorità di certificazione (autorità di certificazione Cloud Service Mesh o Certificate Authority Service), la configurazione del mesh, la registrazione di Stackdriver, Cloud Monitoring e i servizi Cloud Trace nei seguenti casi:

  • Il cluster su cui hai installato Cloud Service Mesh si trova in un progetto incluso in un perimetro di servizio.
  • Il cluster su cui hai installato Cloud Service Mesh è un progetto di servizio in una rete VPC condivisa.

Aggiungendo questi servizi al perimetro di servizio, il tuo cluster Cloud Service Mesh può accedervi. L'accesso ai servizi è limitato anche all'interno della rete VPC (Virtual Private Cloud) del cluster.

Se non aggiungi i servizi sopra indicati, l'installazione di Cloud Service Mesh potrebbe non riuscire o alcune funzioni potrebbero non essere presenti. Ad esempio, se non aggiunti l'autorità di certificazione Cloud Service Mesh al perimetro di servizio, i carichi di lavoro non possono ottenere i certificati dall'autorità di certificazione Cloud Service Mesh.

Prima di iniziare

La configurazione del perimetro di servizio dei Controlli di servizio VPC avviene a livello di organizzazione. Assicurati di disporre dei ruoli appropriati per amministrare i Controlli di servizio VPC. Se hai più progetti, puoi applicare il perimetro di servizio a tutti aggiungendo ogni progetto al perimetro di servizio.

Aggiunta di servizi Cloud Service Mesh a un perimetro di servizio esistente

Console

  1. Per modificare il perimetro, segui i passaggi descritti in Aggiornare un perimetro di servizio.
  2. Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi in Servizi da difendere.
  3. Nella finestra di dialogo Specifica i servizi da limitare, fai clic su Filtra servizi. A seconda dell'autorità di certificazione (CA), inserisci API Cloud Service Mesh Certificate Authority o API Certificate Authority Service.
  4. Seleziona la casella di controllo del servizio.
  5. Fai clic su Aggiungi l'API Cloud Service Mesh Certificate Authority.
  6. Ripeti i passaggi 2-5 per aggiungere:
    • API Mesh Configuration
    • API Cloud Monitoring
    • API Cloud Trace
  7. Fai clic su Salva.

gcloud

Per aggiornare l'elenco dei servizi con limitazioni, utilizza il comando update e specifica i servizi da aggiungere come elenco separato da virgole:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

Dove:

  • PERIMETER_NAME è il nome del perimetro di servizio che vuoi aggiornare.

  • OTHER_SERVICES è un elenco facoltativo separato da virgole di uno o più servizi da includere nel perimetro, oltre ai servizi inseriti nel comando precedente. Ad esempio: storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione. Ad esempio, 330193482019.

Per ulteriori informazioni, consulta Aggiornare un perimetro di servizio.