Gestisci i cluster con l'interfaccia utente di Anthos

Panoramica di Connect

Dopo aver installato i cluster Anthos su Bare Metal, Connect utilizza un deployment chiamato Agente Connect per stabilire una connessione tra i tuoi cluster e il tuo progetto Google Cloud e per gestire le richieste Kubernetes.

Connect consente di connettere qualsiasi cluster Kubernetes a Google Cloud. Ciò consente l'accesso al cluster e alle funzionalità di gestione dei carichi di lavoro, tra cui un'interfaccia utente unificata, Google Cloud Console, per interagire con il cluster.

L'agente Connect gestisce le informazioni sulle credenziali dell'account, nonché i dettagli tecnici dell'infrastruttura del cluster e dei carichi di lavoro connessi, incluse risorse, applicazioni e hardware.

Questi dati di servizio del cluster sono associati al tuo progetto e/o al tuo account Google Cloud. Google utilizza questi dati per mantenere un piano di controllo tra il cluster e Google Cloud, per fornirti i servizi e le funzionalità Google Cloud richiesti, tra cui facilitare l'assistenza, la fatturazione, fornire gli aggiornamenti e misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.

Per ulteriori informazioni su Connect, consulta la panoramica di Connect

Gestire i cluster in Google Cloud Console

Google Cloud Console offre un'interfaccia utente centrale per la gestione di tutti i cluster Kubernetes e delle relative risorse, indipendentemente da dove sono in esecuzione. Tutte le tue risorse sono mostrate in un'unica dashboard ed è facile ottenere visibilità sui tuoi carichi di lavoro su più cluster Kubernetes.

Google Cloud Console semplifica il debug, soprattutto quando i tuoi cluster sono distribuiti in diversi ambienti e reti. Google Cloud Console ti consente di determinare rapidamente i carichi di lavoro e ti permette di modificarli come se fossero tutti in esecuzione in un unico cloud.

Sei tu ad avere il controllo delle risorse che gli utenti possono visualizzare e manipolare tramite l'interfaccia utente: il server API di Kubernetes continua a eseguire l'autenticazione, l'autorizzazione e l'audit logging per tutte le richieste effettuate tramite Google Cloud Console.

Autenticazione

I cluster registrati devono essere configurati con uno dei seguenti metodi di autenticazione, in modo da poter accedere a un cluster da Google Cloud Console:

  • Identità Google: questa opzione consente agli utenti di accedere utilizzando la propria identità Google Cloud. Utilizza questa opzione se gli utenti hanno già accesso a Google Cloud con un'identità Google. Per configurare l'accesso a Google Cloud Console tramite l'identità Google, consulta la pagina Configurare il gateway Connect.

  • OpenID Connect (OIDC): se il cluster è configurato per utilizzare un provider di identità OIDC, puoi autenticarti al cluster da Google Cloud Console. Scopri come configurare OIDC per i cluster nelle seguenti guide:

  • Token di connessione: se le soluzioni precedenti fornite da Google non sono adatte alla tua organizzazione, puoi configurare l'autenticazione utilizzando un account di servizio Kubernetes e utilizzare il token di connessione per accedere. Per maggiori dettagli, consulta la pagina Configurare un token di connessione.

Accedi ai cluster Anthos in Google Cloud Console

Per accedere a un cluster, esegui i seguenti passaggi:

  1. Visita il menu Cluster Anthos in Google Cloud Console.

    Visita il menu Cluster Anthos su Bare Metal

  2. Nell'elenco dei cluster, fai clic sul pulsante Accedi accanto al cluster registrato.

  3. Scegli la modalità di accesso che preferisci:

    1. Se utilizzi l'identità Google, seleziona Usa la tua identità Google per accedere, compila i campi Nome utente e Password e fai clic su Accedi.
    2. Se utilizzi un token KSA per accedere, seleziona Token, compila il campo Token con il token di connessione di KSA e fai clic su Login.
    3. Se utilizzi OpenID Connect (OIDC), seleziona OpenID Connect, quindi fai clic su Login.

Se l'autenticazione è riuscita, puoi controllare il cluster e ottenere informazioni dettagliate sui suoi nodi.

Autorizzazione

I controlli di autorizzazione vengono eseguiti dal server API del cluster rispetto all'identità che utilizzi quando esegui l'autenticazione tramite Google Cloud Console.

Tutti gli account che accedono a un cluster devono avere almeno i seguenti ruoli RBAC di Kubernetes nel cluster:

Questi ruoli forniscono l'accesso di sola lettura a un cluster e i dettagli sui nodi. I ruoli non forniscono l'accesso a tutte le risorse, quindi alcune funzionalità di Google Cloud Console potrebbero non essere disponibili; ad esempio, questi ruoli non consentono l'accesso ai secret di Kubernetes o ai log dei pod.

Agli account possono essere concesse altre autorizzazioni RBAC, ad esempio tramite edit o cluster-admin, per eseguire ulteriori operazioni all'interno del cluster. Per ulteriori informazioni, consulta la documentazione di RBAC.