Panoramica di Connect
Dopo aver installato i cluster Anthos su Bare Metal, Connect utilizza un deployment chiamato Agente Connect per stabilire una connessione tra i tuoi cluster e il tuo progetto Google Cloud e per gestire le richieste Kubernetes.
Connect consente di connettere qualsiasi cluster Kubernetes a Google Cloud. Ciò consente l'accesso al cluster e alle funzionalità di gestione dei carichi di lavoro, tra cui un'interfaccia utente unificata, Google Cloud Console, per interagire con il cluster.
L'agente Connect gestisce le informazioni sulle credenziali dell'account, nonché i dettagli tecnici dell'infrastruttura del cluster e dei carichi di lavoro connessi, incluse risorse, applicazioni e hardware.
Questi dati di servizio del cluster sono associati al tuo progetto e/o al tuo account Google Cloud. Google utilizza questi dati per mantenere un piano di controllo tra il cluster e Google Cloud, per fornirti i servizi e le funzionalità Google Cloud richiesti, tra cui facilitare l'assistenza, la fatturazione, fornire gli aggiornamenti e misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.
Per ulteriori informazioni su Connect, consulta la panoramica di Connect
Gestire i cluster in Google Cloud Console
Google Cloud Console offre un'interfaccia utente centrale per la gestione di tutti i cluster Kubernetes e delle relative risorse, indipendentemente da dove sono in esecuzione. Tutte le tue risorse sono mostrate in un'unica dashboard ed è facile ottenere visibilità sui tuoi carichi di lavoro su più cluster Kubernetes.
Google Cloud Console semplifica il debug, soprattutto quando i tuoi cluster sono distribuiti in diversi ambienti e reti. Google Cloud Console ti consente di determinare rapidamente i carichi di lavoro e ti permette di modificarli come se fossero tutti in esecuzione in un unico cloud.
Sei tu ad avere il controllo delle risorse che gli utenti possono visualizzare e manipolare tramite l'interfaccia utente: il server API di Kubernetes continua a eseguire l'autenticazione, l'autorizzazione e l'audit logging per tutte le richieste effettuate tramite Google Cloud Console.
Autenticazione
I cluster registrati devono essere configurati con uno dei seguenti metodi di autenticazione, in modo da poter accedere a un cluster da Google Cloud Console:
Identità Google: questa opzione consente agli utenti di accedere utilizzando la propria identità Google Cloud. Utilizza questa opzione se gli utenti hanno già accesso a Google Cloud con un'identità Google. Per configurare l'accesso a Google Cloud Console tramite l'identità Google, consulta la pagina Configurare il gateway Connect.
OpenID Connect (OIDC): se il cluster è configurato per utilizzare un provider di identità OIDC, puoi autenticarti al cluster da Google Cloud Console. Scopri come configurare OIDC per i cluster nelle seguenti guide:
- Configura i cluster per Anthos Identity Service con OIDC: questa guida mostra come configurare l'autenticazione OIDC su cluster per cluster.
- Configura Anthos Identity Service per un parco risorse: questa opzione consente di configurare OIDC a livello di parco risorse.
Token di connessione: se le soluzioni precedenti fornite da Google non sono adatte alla tua organizzazione, puoi configurare l'autenticazione utilizzando un account di servizio Kubernetes e utilizzare il token di connessione per accedere. Per maggiori dettagli, consulta la pagina Configurare un token di connessione.
Accedi ai cluster Anthos in Google Cloud Console
Per accedere a un cluster, esegui i seguenti passaggi:
Visita il menu Cluster Anthos in Google Cloud Console.
Nell'elenco dei cluster, fai clic sul pulsante Accedi accanto al cluster registrato.
Scegli la modalità di accesso che preferisci:
- Se utilizzi l'identità Google, seleziona Usa la tua identità Google per accedere, compila i campi Nome utente e Password e fai clic su Accedi.
- Se utilizzi un token KSA per accedere, seleziona Token, compila il campo Token con il token di connessione di KSA e fai clic su Login.
- Se utilizzi OpenID Connect (OIDC), seleziona OpenID Connect, quindi fai clic su Login.
Se l'autenticazione è riuscita, puoi controllare il cluster e ottenere informazioni dettagliate sui suoi nodi.
Autorizzazione
I controlli di autorizzazione vengono eseguiti dal server API del cluster rispetto all'identità che utilizzi quando esegui l'autenticazione tramite Google Cloud Console.
Tutti gli account che accedono a un cluster devono avere almeno i seguenti ruoli RBAC di Kubernetes nel cluster:
Questi ruoli forniscono l'accesso di sola lettura a un cluster e i dettagli sui nodi. I ruoli non forniscono l'accesso a tutte le risorse, quindi alcune funzionalità di Google Cloud Console potrebbero non essere disponibili; ad esempio, questi ruoli non consentono l'accesso ai secret di Kubernetes o ai log dei pod.
Agli account possono essere concesse altre autorizzazioni RBAC, ad esempio tramite edit
o
cluster-admin
, per eseguire ulteriori operazioni all'interno del cluster. Per ulteriori informazioni, consulta la documentazione di RBAC.