Cloud Service Mesh-Dienste (clusterintern) zu Dienstperimetern hinzufügen

Wenn Sie in Ihrer Organisation einen Dienstperimeter erstellt haben, müssen Sie in den folgenden Fällen die Zertifizierungsstelle (Cloud Service Mesh-Zertifizierungsstelle oder Zertifizierungsstelle), die Mesh-Konfiguration, Stackdriver-Logging, Cloud Monitoring und Cloud Trace dem Perimeter hinzufügen:

  • Der Cluster, auf dem Sie Cloud Service Mesh installiert haben, befindet sich in einem Projekt, das in einem Dienstperimeter enthalten ist.
  • Der Cluster, auf dem Sie Cloud Service Mesh installiert haben, ist ein Dienstprojekt in einem freigegebenen VPC-Netzwerk.

Wenn Sie diese Dienste dem Dienstperimeter hinzufügen, kann der Cloud Service Mesh-Cluster auf diese Dienste zugreifen. Der Zugriff auf die Dienste wird auch über das VPC-Netzwerk (Virtual Private Cloud) Ihres Clusters eingeschränkt.

Wenn die oben genannten Dienste nicht hinzugefügt werden, kann die Installation von Cloud Service Mesh fehlschlagen oder dazu führen, dass Funktionen fehlen. Wenn Sie beispielsweise die Cloud Service Mesh-Zertifizierungsstelle dem Dienstperimeter nicht hinzufügen, können die Arbeitslasten keine Zertifikate von der Cloud Service Mesh-Zertifizierungsstelle erhalten.

Hinweise

Die Einrichtung für den VPC Service Controls-Dienstperimeter erfolgt auf Organisationsebene. Prüfen Sie, ob Ihnen die entsprechenden Rollen für die Verwaltung von VPC Service Controls erteilt wurden. Wenn Sie mehrere Projekte haben, können Sie den Dienstperimeter auf alle Projekte anwenden, indem Sie jedes Projekt zum Dienstperimeter hinzufügen.

Cloud Service Mesh-Dienste zu einem vorhandenen Dienstperimeter hinzufügen

Console

  1. Zum Bearbeiten des Perimeters befolgen Sie die Schritte unter Dienstperimeter aktualisieren.
  2. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten unter Geschützte Dienste auf Dienste hinzufügen.
  3. Klicken Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen auf Dienste filtern. Geben Sie je nach Zertifizierungsstelle entweder die Cloud Service Mesh Certificate Authority API oder die Certificate Authority Service API ein.
  4. Klicken Sie das Kästchen des Dienstes an.
  5. Klicken Sie auf Cloud Service Mesh Certificate Authority API hinzufügen.
  6. Wiederholen Sie die Schritte 2 bis 5, um Folgendes hinzuzufügen:
    • Mesh Configuration API
    • Cloud Monitoring API
    • Cloud Trace API
  7. Klicken Sie auf Speichern.

gcloud

Verwenden Sie zum Aktualisieren der Liste der eingeschränkten Dienste den Befehl update und geben Sie die hinzuzufügenden Dienste als durch Kommas getrennte Liste an:

gcloud access-context-manager perimeters update PERIMETER_NAME \
  --add-restricted-services=meshconfig.googleapis.com,meshca.googleapis.com,monitoring.googleapis.com,cloudtrace.googleapis.com,OTHER_SERVICES \
  --policy=POLICY_NAME

Wobei:

  • PERIMETER_NAME ist der Name des Dienstperimeters, den Sie aktualisieren möchten.

  • OTHER_SERVICES ist eine optionale durch Kommas getrennte Liste mit einem oder mehreren Diensten, die zusätzlich zu den im vorherigen Befehl eingefügten Diensten im Perimeter enthalten sein sollen. Beispiel: storage.googleapis.com,bigquery.googleapis.com.

  • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. Beispiel: 330193482019

Weitere Informationen finden Sie unter Dienstperimeter aktualisieren.