将 Cloud Service Mesh(集群内)服务添加到服务边界
如果您在组织中创建了服务边界,则在以下情况下必须将证书授权机构(Cloud Service Mesh 证书授权机构或 Certificate Authority Service)、Mesh 配置、Stackdriver 日志记录、Cloud Monitoring 和 Cloud Trace 服务添加到该边界:
- 安装了 Cloud Service Mesh 的集群位于包含在服务边界内的项目中。
- 安装了 Cloud Service Mesh 的集群是共享 VPC 网络中的服务项目。
将这些服务添加到服务边界后,Cloud Service Mesh 集群就可以访问这些服务。但仅可在集群的 Virtual Private Cloud (VPC) 网络内访问这些服务。
如果不添加上述服务,可能会导致 Cloud Service Mesh 安装失败或功能丢失。例如,如果您不将 Cloud Service Mesh 证书授权机构添加到服务边界,工作负载将无法从 Cloud Service Mesh 证书授权机构获取证书。
准备工作
VPC Service Controls 服务边界的设置在组织级别进行。请确保您已被授予适当的管理 VPC Service Controls 的角色。 如果您有多个项目,可以将每个项目添加到服务边界内,从而将服务边界应用于所有项目。
将 Cloud Service Mesh 服务添加到现有服务边界
控制台
- 按照更新服务边界中的步骤修改边界。
- 在修改 VPC 服务边界页面上的要保护的服务下,点击添加服务。
- 在指定要限制的服务对话框中,点击过滤服务。根据您的证书授权机构 (CA),输入 Cloud Service Mesh Certificate Authority API 或 Certificate Authority Service API。
- 选中相应服务的复选框。
- 点击添加 Cloud Service Mesh Certificate Authority API (Add Cloud Service Mesh Certificate Authority API)。
- 重复第 2 步到第 5 步,以添加:
- Mesh Configuration API
- Cloud Monitoring API
- Cloud Trace API
- 点击保存。
gcloud
如需更新受限服务的列表,请使用 update
命令并以英文逗号分隔的列表形式指定要添加的服务:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \ --policy=POLICY_NAME
其中:
PERIMETER_NAME 是要更新的服务边界的名称。
OTHER_SERVICES 是一个可选的逗号分隔列表,其中包含除了在上述命令中填充的服务以外,要纳入该边界的一个或多个服务。例如:
storage.googleapis.com,bigquery.googleapis.com
。POLICY_NAME 是您的组织的访问权限政策的数字名称。例如
330193482019
。
如需了解详情,请参阅更新服务边界。