Aggiunta di servizi Cloud Service Mesh (in-cluster) ai perimetri di servizio
Se hai creato un perimetro di servizio nella organizzazione, devi aggiungere al perimetro la autorità di certificazione (autorità di certificazione Cloud Service Mesh o Certificate Authority Service), la configurazione del mesh, la registrazione di Stackdriver, Cloud Monitoring e i servizi Cloud Trace nei seguenti casi:
- Il cluster su cui hai installato Cloud Service Mesh si trova in un progetto incluso in un perimetro di servizio.
- Il cluster su cui hai installato Cloud Service Mesh è un progetto di servizio in una rete VPC condivisa.
Aggiungendo questi servizi al perimetro di servizio, il tuo cluster Cloud Service Mesh può accedervi. L'accesso ai servizi è limitato anche all'interno della rete VPC (Virtual Private Cloud) del cluster.
Se non aggiungi i servizi sopra indicati, l'installazione di Cloud Service Mesh potrebbe non riuscire o alcune funzioni potrebbero non essere presenti. Ad esempio, se non aggiunti l'autorità di certificazione Cloud Service Mesh al perimetro di servizio, i carichi di lavoro non possono ottenere i certificati dall'autorità di certificazione Cloud Service Mesh.
Prima di iniziare
La configurazione del perimetro di servizio dei Controlli di servizio VPC avviene a livello di organizzazione. Assicurati di disporre dei ruoli appropriati per amministrare i Controlli di servizio VPC. Se hai più progetti, puoi applicare il perimetro di servizio a tutti aggiungendo ogni progetto al perimetro di servizio.
Aggiunta di servizi Cloud Service Mesh a un perimetro di servizio esistente
Console
- Per modificare il perimetro, segui i passaggi descritti in Aggiornare un perimetro di servizio.
- Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi in Servizi da difendere.
- Nella finestra di dialogo Specifica i servizi da limitare, fai clic su Filtra servizi. A seconda dell'autorità di certificazione (CA), inserisci API Cloud Service Mesh Certificate Authority o API Certificate Authority Service.
- Seleziona la casella di controllo del servizio.
- Fai clic su Aggiungi l'API Cloud Service Mesh Certificate Authority.
- Ripeti i passaggi 2-5 per aggiungere:
- API Mesh Configuration
- API Cloud Monitoring
- API Cloud Trace
- Fai clic su Salva.
gcloud
Per aggiornare l'elenco dei servizi con limitazioni, utilizza il comando update
e
specifica i servizi da aggiungere come elenco separato da virgole:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
Dove:
PERIMETER_NAME è il nome del perimetro di servizio che vuoi aggiornare.
OTHER_SERVICES è un elenco facoltativo separato da virgole di uno o più servizi da includere nel perimetro, oltre ai servizi inseriti nel comando precedente. Ad esempio:
storage.googleapis.com,bigquery.googleapis.com
.POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione. Ad esempio,
330193482019
.
Per ulteriori informazioni, consulta Aggiornare un perimetro di servizio.