Connect – Übersicht
Nachdem Sie Anthos-Cluster on Bare Metal installiert haben, verwendet Connect ein Deployment namens Connect Agent, um eine Verbindung zwischen Ihren Clustern und Ihrem Google Cloud-Projekt herzustellen und Kubernetes-Anfragen zu verarbeiten.
Mit Connect können Sie jeden Ihrer Kubernetes-Cluster mit Google Cloud verbinden. Dies ermöglicht den Zugriff auf Features zur Cluster- und Arbeitslastverwaltung sowie auf die Google Cloud Console als einheitliche Benutzeroberfläche für die Interaktion mit Ihrem Cluster.
Der Connect-Agent verwaltet Informationen über Ihre Kontoanmeldedaten sowie die technischen Details der Infrastruktur und Arbeitslasten Ihrer verbundenen Cluster, einschließlich Ressourcen, Anwendungen und Hardware.
Diese Clusterdienstdaten sind mit Ihrem Google Cloud-Projekt und/oder Konto verknüpft. Google verwendet diese Daten, um eine Steuerungsebene zwischen Ihrem Cluster und Google Cloud aufrechtzuerhalten. So haben Sie Zugriff auf alle von Ihnen angeforderten Google Cloud-Dienste und -Funktionen, darunter Unterstützung sowie Support, Abrechnung, Updates und Messungen. und die Zuverlässigkeit, Qualität, Kapazität und Funktion von Connect- und Google Cloud-Diensten verbessern, die über Connect verfügbar sind.
Weitere Informationen zu Connect finden Sie unter Connect – Übersicht.
Cluster in der Google Cloud Console verwalten
Die Google Cloud Console bietet eine zentrale Benutzeroberfläche zum Verwalten aller Kubernetes-Cluster und ihrer Ressourcen, unabhängig davon, wo sie ausgeführt werden. Alle Ihre Ressourcen werden in einem einzigen Dashboard angezeigt und Sie können Ihre Arbeitslasten in mehreren Kubernetes-Clustern schnell erkennen.
Die Google Cloud Console vereinfacht das Debuggen, insbesondere wenn Ihre Cluster über verschiedene Umgebungen und Netzwerke verteilt sind. Mit der Google Cloud Console können Sie schnell den Zustand der Arbeitslasten ermitteln und anschließend Änderungen vornehmen, als ob sie alle in einer einzigen Cloud ausgeführt werden würden.
Sie behalten die Kontrolle darüber, welche Ressourcen Nutzer über die UI aufrufen und bearbeiten können. Der Kubernetes API-Server führt weiterhin Authentifizierung, Autorisierung und Audit-Logging für alle Anfragen über die Google Cloud Console durch.
Authentifizierung
Ihre registrierten Cluster müssen mit einer der folgenden Authentifizierungsmethoden eingerichtet werden, damit Sie sich über die Google Cloud Console bei einem Cluster anmelden können:
Google-Identität: Mit dieser Option können sich Nutzer mit ihrer Google Cloud-Identität anmelden. Verwenden Sie diese Option, wenn Nutzer bereits Zugriff auf Google Cloud mit einer Google-Identität haben. Informationen zum Einrichten des Zugriffs auf die Google Cloud Console mithilfe der Google-Identität finden Sie unter Connect-Gateway einrichten.
OpenID Connect (OIDC): Wenn Ihr Cluster für die Verwendung eines OIDC-Identitätsanbieters konfiguriert ist, können Sie dies zur Authentifizierung beim Cluster über die Google Cloud Console verwenden. In den folgenden Anleitungen erfahren Sie, wie Sie OIDC für ihre Cluster einrichten:
- Cluster für Anthos Identity Service mit OIDC konfigurieren: In dieser Anleitung wird beschrieben, wie Sie die OIDC-Authentifizierung auf Clusterbasis einrichten.
- Anthos Identity Service für eine Flotte einrichten: Mit dieser Option können Sie OIDC auf Flottenebene einrichten.
Inhabertoken: Wenn die oben von Google bereitgestellten Lösungen für Ihre Organisation nicht geeignet sind, können Sie die Authentifizierung mit einem Kubernetes-Dienstkonto einrichten und sich mit dessen Inhabertoken anmelden. Weitere Informationen finden Sie unter Mit einem Inhabertoken einrichten.
Bei Anthos-Clustern in der Google Cloud Console anmelden
Führen Sie zur Anmeldung bei einem Cluster die folgenden Schritte aus:
Rufen Sie das Anthos-Cluster-Menü in der Google Cloud Console auf.
Klicken Sie in der Liste der Cluster auf die Schaltfläche Anmeldung neben dem registrierten Cluster.
Wählen Sie aus, wie Sie sich anmelden möchten:
- Wenn Sie die Google-Identität verwenden, wählen Sie Google-Identität zum Anmelden verwenden aus, füllen Sie die Felder Nutzername und Passwort aus und klicken Sie dann auf Login
- Wenn Sie sichmithilfe eines KSA-Tokensanmelden, wählen Sie Token, füllen das Feld Token mit dem Inhabertoken des KSA aus und klicken Sie dann auf Anmeldung.
- Wenn Sie OpenID Connect (OIDC) verwenden, wählen Sie OpenID Connect aus und klicken dann auf Anmeldung.
Wenn Sie sich erfolgreich authentifiziert haben, können Sie den Cluster prüfen und Details zu dessen Knoten abrufen.
Autorisierung
Berechtigungsprüfungen werden vom API-Server des Clusters anhand der Identität durchgeführt, die Sie bei der Authentifizierung über Google Cloud Console verwenden.
Alle Konten, die sich in einem Cluster anmelden, müssen mindestens die folgenden RBAC-Rollen im Kubernetes-Cluster enthalten:
Diese Rollen bieten Lesezugriff auf einen Cluster und Details zu ihren Knoten. Die Rollen bieten nicht den Zugriff auf alle Ressourcen. Daher sind einige Funktionen der Google Cloud Console möglicherweise nicht verfügbar. Zum Beispiel erlauben diese Rollen keinen Zugriff auf Kubernetes Secrets oder Pod-Logs.
Konten können andere RBAC-Berechtigungen zugewiesen werden, zum Beispiel über edit
oder cluster-admin
, um mehr innerhalb des Clusters zu tun. Weitere Informationen finden Sie in der RBAC.