Panoramica di Connect
Dopo aver installato i cluster Anthos su Bare Metal, Connect utilizza un deployment chiamato agente Connect per stabilire una connessione tra i cluster e il progetto Google Cloud e gestire le richieste Kubernetes.
L'opzione Connect ti consente di connettere qualsiasi cluster Kubernetes a Google Cloud. Questo consente l'accesso alle funzionalità di gestione del cluster e del carico di lavoro, tra cui un'interfaccia utente unificata, Cloud Console, per interagire con il tuo cluster.
L'agente Connect gestisce le informazioni sulle credenziali dell'account, nonché i dettagli tecnici dell'infrastruttura del cluster connesso e dei carichi di lavoro, inclusi risorse, applicazioni e hardware.
Questi dati di servizio del cluster sono associati al progetto e/o al tuo account Google Cloud. Google utilizza questi dati per gestire un piano di controllo tra il cluster e Google Cloud, per fornire gli eventuali servizi e le funzionalità di Google Cloud richiesti, ad esempio per agevolare il supporto, la fatturazione e gli aggiornamenti, nonché per misurare e migliorare l'affidabilità, la qualità, la capacità e le funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.
Per ulteriori informazioni su Connect, consulta la panoramica di Connect
Gestire i cluster in Cloud Console
Cloud Console offre un'interfaccia utente centrale per gestire tutti i cluster Kubernetes e le relative risorse, indipendentemente da dove vengono eseguiti. Tutte le risorse sono mostrate in un'unica dashboard ed è facile ottenere visibilità sui tuoi carichi di lavoro in più cluster Kubernetes.
Cloud Console semplifica il debug, soprattutto quando i tuoi cluster sono distribuiti su ambienti e reti diversi. Cloud Console ti consente di determinare rapidamente i carichi di lavoro; in più, consente di modificarli come se fossero tutti in esecuzione in un unico cloud.
Hai il pieno controllo su quali risorse gli utenti possono visualizzare e manipolare tramite l'interfaccia utente: il tuo server API Kubernetes continua a eseguire l'autenticazione, l'autorizzazione e il logging di controllo su tutte le richieste effettuate tramite Cloud Console.
Per saperne di più, vedi Cloud Console.
Accedi ai cluster Anthos in Google Cloud Console
Per accedere a un cluster, segui questi passaggi:
Vai al menu Cluster di Anthos in Cloud Console.
Nell'elenco dei cluster, fai clic sul pulsante Accedi accanto al cluster registrato.
Scegli la modalità di accesso:
- Se utilizzi l'autenticazione di base, seleziona Autenticazione di base, compila i campi Nome utente e Password, quindi fai clic su Accedi.
- Se utilizzi un token KSA per accedere, seleziona Token, compila il campo Token con il token di connessione KSA e fai clic su Login.
- Se utilizzi OpenID Connect (OIDC), seleziona OpenID Connect, quindi fai clic su Login (Accedi).
Se esegui l'autenticazione correttamente, puoi controllare il cluster e ottenere informazioni dettagliate sui suoi nodi.
Autenticazione
Puoi utilizzare Google Cloud Console per accedere ai cluster registrati in tre modi:
- L'autenticazione di base, che utilizza un nome utente e un file di password statico. Per saperne di più, consulta File password statico.
- Utilizzo di un token di connessione. Sono supportati molti tipi di token di connessione, come specificato in Kubernetes Authentication. Il metodo più semplice consiste nel creare un account di servizio Kubernetes (KSA) nel cluster e utilizzare il token di connessione per accedere.
- usando un provider OpenID Connect (OIDC).
binaria
I controlli di autorizzazione vengono eseguiti dal server API del cluster in base all'identità che utilizzi quando esegui l'autenticazione tramite Google Cloud Console.
Tutti gli account che accedono a un cluster devono mantenere almeno i seguenti ruoli Kubernetes RBAC:
Questi ruoli forniscono l'accesso in sola lettura a un cluster e i dettagli sui relativi nodi. Poiché i ruoli non forniscono l'accesso a tutte le risorse, alcune funzionalità di Google Cloud Console potrebbero non essere disponibili; ad esempio, non consentono l'accesso ai secret di Kubernetes o ai log dei pod.
Agli account possono essere concesse altre autorizzazioni RBAC, come edit
o
cluster-admin
, per eseguire altre operazioni all'interno del cluster. Per ulteriori informazioni, consulta la documentazione di RBAC.