Añadir servicios de Cloud Service Mesh a los perímetros de servicio

Si has creado un perímetro de servicio en tu organización, debes añadir los servicios Autoridad de certificación (autoridad de certificación de Cloud Service Mesh o servicio de autoridad de certificación), Configuración de Mesh, Stackdriver Logging, Cloud Monitoring y Cloud Trace al perímetro en los siguientes casos:

  • El clúster en el que has instalado Cloud Service Mesh está en un proyecto incluido en un perímetro de servicio.
  • El clúster en el que has instalado Cloud Service Mesh es un proyecto de servicio en una red de VPC compartida.

Al añadir estos servicios al perímetro de servicio, tu clúster de Cloud Service Mesh puede acceder a ellos. El acceso a los servicios también está restringido en la red de nube privada virtual (VPC) de tu clúster.

Si no se añaden los servicios mencionados, es posible que la instalación de Cloud Service Mesh falle o que falten funciones. Por ejemplo, si no añade la autoridad de certificación de Cloud Service Mesh al perímetro de servicio, las cargas de trabajo no podrán obtener certificados de la autoridad de certificación de Cloud Service Mesh.

Antes de empezar

La configuración del perímetro de servicio de Controles de Servicio de VPC se realiza a nivel de organización. Asegúrate de que se te han asignado los roles adecuados para gestionar Controles de Servicio de VPC. Si tienes varios proyectos, puedes aplicar el perímetro de servicio a todos ellos añadiendo cada proyecto al perímetro de servicio.

Añadir servicios de Cloud Service Mesh a un perímetro de servicio disponible

Consola

  1. Sigue los pasos que se indican en el artículo sobre cómo actualizar un perímetro de servicio para editar el perímetro.
  2. En la página Editar perímetro de servicio de VPC, en Servicios que proteger, haga clic en Añadir servicios.
  3. En el cuadro de diálogo Especifica los servicios que quieres restringir, haz clic en Filtrar servicios. En función de tu autoridad de certificación, introduce API de autoridad de certificación de Cloud Service Mesh o API de servicio de autoridad de certificación.
  4. Selecciona la casilla del servicio.
  5. Haz clic en Add Cloud Service Mesh Certificate Authority API (Añadir API de autoridad de certificación de Cloud Service Mesh).
  6. Repite los pasos del 2 al 5 para añadir lo siguiente:
    • API Mesh Configuration
    • API de Cloud Monitoring
    • API de Cloud Trace
  7. Haz clic en Guardar.

gcloud

Para actualizar la lista de servicios restringidos, usa el comando update y especifica los servicios que quieras añadir como una lista delimitada por comas:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

Donde:

  • PERIMETER_NAME es el nombre del perímetro de servicio que quieres actualizar.

  • OTHER_SERVICES es una lista opcional separada por comas de uno o varios servicios que se incluirán en el perímetro, además de los servicios que se hayan añadido en el comando anterior. Por ejemplo: storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME es el nombre numérico de la política de acceso de tu organización. Por ejemplo, 330193482019.

Para obtener más información, consulta el artículo Actualizar un perímetro de servicio.