Gerenciar clusters com a IU do Anthos

Visão geral do Connect

Depois que você instalar os clusters do Anthos em bare metal, o Connect usará uma implantação chamada agente do Connect para estabelecer uma conexão entre os clusters e o projeto do Google Cloud e para processar as solicitações do Kubernetes.

O Connect permite que você conecte qualquer um dos seus clusters do Kubernetes ao Google Cloud. Assim, é possível acessar o cluster e os recursos de gerenciamento de carga de trabalho. Isso inclui uma interface de usuário unificada, o console do Google Cloud, para interagir com o cluster.

O agente do Connect gerencia informações sobre as credenciais da sua conta, bem como os detalhes técnicos da infraestrutura e das cargas de trabalho do cluster conectado, incluindo recursos, aplicativos e hardware.

Esses dados do serviço de cluster estão associados ao seu projeto e/ou conta do Google Cloud. Esses dados são usados pelo Google para manter um plano de controle entre o cluster e o Google Cloud. Assim, é possível fornecer os serviços e recursos do Google Cloud exigidos, inclusive suporte facilitado, faturamento, fornecimento de atualizações e avaliação. Além de aprimorar a confiabilidade, a qualidade, a capacidade e a funcionalidade dos serviços do Connect e do Google Cloud disponíveis por meio do Connect.

Para mais informações sobre o Connect, consulte a Visão geral do Connect.

Gerenciar clusters no console do Google Cloud

O console do Google Cloud oferece uma interface central do usuário para gerenciar todos os clusters do Kubernetes e os recursos deles, onde quer que estejam em execução. Todos os recursos são exibidos em um único painel, e é fácil ter visibilidade das cargas de trabalho em vários clusters do Kubernetes.

O console do Google Cloud simplifica a depuração, especialmente quando os clusters são distribuídos em diferentes ambientes e redes. Com o console do Google Cloud, você determina rapidamente a integridade das cargas de trabalho e é possível modificá-las como se todas estivessem em execução em uma única nuvem.

Você mantém o controle sobre quais recursos os usuários podem visualizar e manipular pela IU: o servidor da API Kubernetes continua executando a autenticação, a autorização e o registro de auditoria em todas as solicitações feitas pelo console do Google Cloud.

Autenticação

Os clusters registrados precisam ser configurados com um dos seguintes métodos de autenticação para que seja possível fazer login em um cluster no Console do Google Cloud:

  • Identidade do Google: esta opção permite que os usuários façam login com a identidade do Google Cloud. Use essa opção se seus usuários já tiverem acesso ao Google Cloud com uma identidade do Google. Para configurar o acesso ao Console do Google Cloud usando a identidade do Google, consulte Como configurar o gateway do Connect.

  • OpenID Connect (OIDC): se o cluster está configurado para usar um provedor de identidade OIDC, é possível usá-lo para autenticar no cluster do Console do Google Cloud. Veja como configurar os clusters do Anthos para OIDC nos seguintes guias:

  • Token do portador: se as soluções anteriores fornecidas pelo Google não forem adequadas para sua organização, configure a autenticação usando uma conta de serviço do Kubernetes e usando o token do portador para fazer login. Para mais detalhes, consulte Configurar usando um token do portador.

Fazer login nos clusters do Anthos no console do Google Cloud

Para fazer login em um cluster, siga as seguintes etapas:

  1. Acesse o menu de clusters do Anthos no console do Google Cloud.

    Acesse menu dos clusters do Anthos em bare metal

  2. Na lista de clusters, clique no botão Fazer login ao lado do cluster registrado.

  3. Escolha como você fará login:

    1. Se você estiver usando a identidade do Google, selecione Usar sua identidade do Google para fazer login, preencha os campos Nome de usuário e Senha e clique em Login.
    2. Se você estiver usando um token da KSA para fazer login, selecione Token, preencha o campo Token com o token do portador da KSA e clique em Fazer login.
    3. Se você estiver usando o OpenID Connect (OIDC), selecione OpenID Connect e clique em Login.

Se a autenticação for concluída com sucesso, será possível inspecionar o cluster e receber detalhes sobre os nós.

Autorização

As verificações de autorização são realizadas pelo servidor de API do cluster. É analisada a identidade que você usa quando se autentica por meio do console do Google Cloud.

Todas as contas que fazem login em um cluster precisam manter pelo menos os seguintes papéis de RBAC do Kubernetes no cluster:

Esses papéis fornecem acesso somente leitura a um cluster e detalhes sobre os nós. Eles não concedem acesso a todos os recursos, portanto, alguns recursos do console do Google Cloud podem não estar disponíveis. Esses papéis não permitem o acesso aos secrets do Kubernetes e aos registros do pod, por exemplo.

As contas podem receber outras permissões do RBAC, como edit ou cluster-admin, para fazer mais no cluster. Para mais informações, consulte a documentação do RBAC.