サービス境界への Cloud Service Mesh(クラスタ内)サービスの追加

組織にサービス境界を作成した場合は、次のケースで認証局(Cloud Service Mesh 認証局または Certificate Authority Service)、メッシュ構成、Stackdriver Logging、Cloud Monitoring、Cloud Trace のサービスを境界に追加する必要があります。

  • Cloud Service Mesh がインストールされたクラスタが、サービス境界に含まれているプロジェクトに作成されている場合。
  • Cloud Service Mesh がインストールされているクラスタが、共有 VPC ネットワーク内のサービス プロジェクトの場合。

これらのサービスをサービス境界に追加すると、Cloud Service Mesh クラスタがこれらのサービスにアクセスできるようになります。サービスへのアクセスは、クラスタの Virtual Private Cloud(VPC)ネットワーク内でも制限されます。

上述のサービスを追加しないと、Cloud Service Mesh のインストールが失敗するか、機能が欠落する場合があります。たとえば、サービス境界に Cloud Service Mesh 認証局を追加しなければ、ワークロードは Cloud Service Mesh 認証局から証明書を取得できません。

始める前に

VPC Service Controls サービス境界の設定は組織レベルで行います。VPC Service Controls の管理に必要なロールが付与されていることを確認してください。複数のプロジェクトがある場合は、各プロジェクトをサービス境界に追加することによって、すべてのプロジェクトにサービス境界を適用できます。

既存のサービス境界への Cloud Service Mesh サービスの追加

Console

  1. サービス境界の更新の手順に沿って境界を編集します。
  2. [VPC サービス境界の編集] ページの [保護するサービス] で、[サービスを追加] をクリックします。
  3. [制限するサービスの指定] ダイアログで [サービスをフィルタ] をクリックします。認証局(CA)に応じて、「Cloud Service Mesh Certificate Authority API」または「Certificate Authority Service API」と入力します。
  4. サービスのチェックボックスをオンにします。
  5. [Cloud Service Mesh Certificate Authority API を追加] をクリックします。
  6. 手順 2~5 を繰り返して、以下を追加します。
    • Mesh Configuration API
    • Cloud Monitoring API
    • Cloud Trace API
  7. [保存] をクリックします。

gcloud

制限付きサービスのリストを更新するには、update コマンドを使用して、追加するサービスをカンマ区切りリストとして指定します。

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

ここで

  • PERIMETER_NAME は、更新するサービス境界の名前です。

  • OTHER_SERVICES は、前のコマンドで入力したサービスに加えて、境界に含める 1 つ以上のサービスのカンマ区切りのリストです。例: storage.googleapis.com,bigquery.googleapis.com

  • POLICY_NAME は組織のアクセス ポリシーの名前です。例: 330193482019

詳細については、サービス境界の更新をご覧ください。