Présentation de Connect
Une fois que vous avez installé les clusters Anthos sur Bare Metal, Connect utilise un déploiement appelé Agent Connect pour établir une connexion entre vos clusters et votre projet Google Cloud, et pour gérer les requêtes Kubernetes.
Connect vous permet de connecter n'importe lequel de vos clusters Kubernetes à Google Cloud. Vous pouvez ainsi accéder au cluster et aux fonctionnalités de gestion de charge de travail, y compris à une interface utilisateur unifiée, la console Google Cloud, pour interagir avec votre cluster.
L'agent Connect gère les informations sur les identifiants de votre compte, ainsi que les détails techniques de votre infrastructure de cluster et de vos charges de travail connectées, y compris les ressources, les applications et le matériel.
Ces données de service de cluster sont associées à votre projet et/ou à votre compte Google Cloud. Google utilise ces données pour maintenir un plan de contrôle entre votre cluster et Google Cloud, afin de vous fournir tous les services et fonctionnalités Google Cloud que vous demandez. Cela comprend l'assistance, la facturation, les mises à jour ainsi que l'évaluation et l'amélioration de la fiabilité, de la qualité, de la capacité et des fonctionnalités des services Connect et Google Cloud disponibles via Connect.
Pour en savoir plus sur Connect, consultez la présentation de Connect.
Gérer des clusters dans la console Google Cloud
La console Google Cloud offre une interface utilisateur centralisée pour gérer tous vos clusters Kubernetes et leurs ressources, quel que soit l'emplacement d'exécution. Toutes vos ressources sont affichées dans un tableau de bord unique, et vous pouvez obtenir facilement une visibilité sur vos charges de travail sur plusieurs clusters Kubernetes.
La console Google Cloud simplifie le débogage, en particulier lorsque vos clusters sont répartis dans différents environnements et réseaux. La console Google Cloud permet de déterminer rapidement l'état des charges de travail et d'y apporter des modifications comme si elles étaient toutes exécutées dans un seul cloud.
Vous contrôlez les ressources que les utilisateurs peuvent afficher et manipuler via l'UI : votre serveur d'API Kubernetes continue à effectuer des opérations d'authentification, d'autorisation et d'audit sur toutes les requêtes effectuées via la console Google Cloud.
Authentification
Vos clusters enregistrés doivent être configurés avec l'une des méthodes d'authentification suivantes pour vous permettre de vous connecter à un cluster à partir de la console Google Cloud :
Identité Google: cette option permet aux utilisateurs de se connecter à l'aide de leur identité Google Cloud. Utilisez cette option si les utilisateurs ont déjà accès à Google Cloud avec une identité Google. Pour configurer l'accès à la console Google Cloud à l'aide de l'identité Google, consultez la page Configurer la passerelle Connect.
OpenID Connect (OIDC): si votre cluster est configuré pour utiliser un fournisseur d'identité OIDC, vous pouvez l'utiliser pour vous authentifier auprès du cluster depuis la console Google Cloud. Pour savoir comment configurer OIDC pour vos clusters, consultez les guides suivants :
- Configurer des clusters pour Anthos Identity Service avec OIDC : ce guide vous explique comment configurer l'authentification OIDC par cluster.
- Configurer Anthos Identity Service pour un parc : cette option vous permet de configurer OIDC au niveau du parc.
Jeton de support: si les solutions précédentes fournies par Google ne sont pas adaptées à votre organisation, vous pouvez configurer l'authentification à l'aide d'un compte de service Kubernetes et de son jeton de support pour vous connecter. Pour en savoir plus, consultez la page Configurer à l'aide d'un jeton de support.
Se connecter aux clusters Anthos dans la console Google Cloud
Pour vous connecter à un cluster, procédez comme suit :
Accédez au menu "Clusters Anthos" dans la console Google Cloud.
Dans la liste des clusters, cliquez sur le bouton Connexion situé à côté du cluster enregistré.
Indiquez la manière dont vous souhaitez vous connecter :
- Si vous utilisez une identité Google, sélectionnez Utiliser votre identité Google pour vous connecter, renseignez les champs Nom d'utilisateur et Mot de passe, puis cliquez sur Se connecter.
- Si vous utilisez un jeton KSA pour vous connecter, sélectionnez Jeton, renseignez le champ Jeton avec le jeton de support du KSA, puis cliquez sur Connexion.
- Si vous utilisez OpenID Connect (OIDC), sélectionnez OpenID Connect, puis cliquez sur Connexion.
Si vous parvenez à vous authentifier, vous pouvez inspecter le cluster et obtenir des informations sur ses nœuds.
Autorisation
Les vérifications d'autorisation sont effectuées par le serveur d'API du cluster par rapport à l'identité que vous utilisez pour vous authentifier via la console Google Cloud.
Tous les comptes se connectant à un cluster doivent au moins disposer des rôles Kubernetes RBAC suivants dans le cluster :
Ces rôles fournissent un accès en lecture seule à un cluster et des informations sur leurs nœuds. Étant donné que les rôles ne donnent pas accès à toutes les ressources, certaines fonctionnalités de la console Google Cloud peuvent ne pas être disponibles. Par exemple, ces rôles ne permettent pas d'accéder aux secrets Kubernetes ni aux journaux de pod.
Des comptes peuvent disposer d'autres autorisations RBAC, comme via edit
ou cluster-admin
, pour bénéficier de plus de fonctionnalités dans le cluster. Pour plus d'informations, consultez la documentation RBAC.