使用 Anthos 界面管理集群

Connect 概览

安装 Anthos clusters on Bare Metal 后,Connect 使用名为 Connect Agent 的部署在集群与 Google Cloud 项目之间建立连接,并处理 Kubernetes 请求。

Connect 允许您将任何 Kubernetes 集群连接到 Google Cloud。这样,您就能够访问集群和工作负载管理功能(包括统一的界面和 Google Cloud 控制台),以与集群进行互动。

Connect Agent 管理帐号凭据的相关信息,以及连接的集群基础架构和工作负载的技术详情,包括资源、应用和硬件。

此集群服务数据与您的 Google Cloud 项目和/或帐号相关联。Google 使用这些数据来维持集群和 Google Cloud 之间的控制平面,为您提供所请求的任何 GCP 服务和功能(包括提供支持、进行结算、提供更新),以及通过 Connect 衡量和改进 Connect 和 Google Cloud 服务的可靠性、质量、容量和功能。

如需详细了解 Connect,请参阅 Connect 概览

在 Google Cloud 控制台中管理集群

Google Cloud 控制台提供了一个中央界面,用于管理您的所有 Kubernetes 集群及其资源(无论它们在何处运行)。您的所有资源都显示在单个信息中心内;您可以轻松地查看多个 Kubernetes 集群的工作负载。

Google Cloud 控制台可简化调试,尤其是当您的集群分布在不同的环境和网络中时。借助 Google Cloud 控制台,您可以快速确定工作负载的健康状况,并对其进行修改(就像这些工作负载都在单个云中运行一样)。

您可以控制用户能够通过该界面查看和操作哪些资源:您的 Kubernetes API 服务器会继续对通过 Google Cloud 控制台发出的所有请求执行身份验证、授权和审核日志记录。

Authentication

您需要使用以下某种身份验证方法设置已注册的集群,以便从 Google Cloud 控制台登录集群:

  • Google 身份:此选项允许用户使用其 Google Cloud 身份登录。如果您的用户已有权使用 Google Identity 访问 Google Cloud,请使用此选项。如需使用 Google 身份设置对 Google Cloud 控制台的访问权限,请参阅设置 Connect 网关

  • OpenID Connect (OIDC):如果您的集群配置为使用 OIDC 身份提供方,则可以使用此选项从 Google Cloud 控制台向集群进行身份验证。您可以参考以下指南,了解如何为集群设置 OIDC:

  • 不记名令牌:如果上述 Google 提供的解决方案不适合您的组织,您可以使用 Kubernetes 服务帐号及其不记名令牌来设置身份验证以登录。如需了解详情,请参阅使用不记名令牌设置

在 Google Cloud 控制台中登录 Anthos 集群

如需登录集群,请执行以下步骤:

  1. 访问 Google Cloud 控制台中的 Anthos 集群菜单。

    访问 Anthos clusters on Bare Metal 菜单

  2. 在集群列表中,点击已注册集群旁边的登录按钮。

  3. 选择要使用的登录方式:

    1. 如果您使用的是 Google 身份,请选择使用您的 Google 身份登录,填写用户名密码字段,然后点击 登录
    2. 如果您使用 KSA 令牌登录,请选择令牌,在令牌字段中填写 KSA 不记名令牌,然后点击登录
    3. 如果您使用的是 OpenID Connect (OIDC),请选择 OpenID Connect,然后点击登录

成功通过身份验证后,您就可以检查集群并获取有关其节点的详细信息。

授权

集群的 API 服务器会针对您通过 Google Cloud Console 进行身份验证时使用的身份执行授权检查。

所有登录集群的帐号至少需要具有集群中的以下 Kubernetes RBAC 角色:

这些角色提供对集群及其节点的详细信息的只读权限。它们不提供对所有资源的访问权限,因此 Google Cloud Console 的某些功能可能无法使用;例如,这些角色不允许访问 Kubernetes Secret 或 Pod 日志。

可以向帐号授予其他 RBAC 权限,例如通过 editcluster-admin 在集群内中执行更多操作。如需了解详情,请参阅 RBAC 文档。