Connect 개요
베어메탈용 Anthos 클러스터를 설치한 후 Connect에서 Connect 에이전트라는 배포를 사용하여 클러스터와 Google Cloud 프로젝트 간의 연결을 설정하고 Kubernetes 요청을 처리합니다.
Connect를 사용하면 모든 Kubernetes 클러스터를 Google Cloud에 연결할 수 있습니다. 이렇게 하면 통합 사용자 인터페이스, Google Cloud 콘솔을 비롯하여 클러스터 및 워크로드 관리 기능에 액세스하여 클러스터와 상호작용할 수 있습니다.
Connect Agent는 계정 사용자 인증 정보는 물론 리소스, 애플리케이션, 하드웨어를 포함한 연결된 클러스터 인프라 및 워크로드의 기술 세부정보를 관리합니다.
이 클러스터 서비스 데이터는 Google Cloud 프로젝트 또는 계정과 연결되어 있습니다. Google은 이 데이터를 사용하여 클러스터와 Google Cloud 간의 제어 영역을 유지하고, 지원 촉진, 청구, 업데이트 제공을 포함한 개발자가 요청하는 모든 Google Cloud 서비스 및 기능을 제공하고, Connect를 통해 제공되는 Connect 및 Google Cloud 서비스의 안정성, 품질, 용량, 기능을 측정하고 개선합니다.
Connect에 대한 자세한 내용은 Connect 개요를 참조하세요.
Google Cloud 콘솔에서 클러스터 관리
Google Cloud 콘솔에서는 실행 위치와 관계없이 모든 Kubernetes 클러스터와 해당 리소스를 관리할 수 있는 중앙 사용자 인터페이스를 제공합니다. 모든 리소스가 하나의 대시보드에 표시되므로 여러 Kubernetes 클러스터의 워크로드를 쉽게 파악할 수 있습니다.
Google Cloud 콘솔은 특히 클러스터가 다양한 환경 및 네트워크에 분산되는 경우에 디버깅을 간소화합니다. Google Cloud 콘솔을 사용하면 워크로드의 상태를 빠르게 확인하고 모두 단일 클라우드에서 실행 중인 것처럼 워크로드를 수정할 수 있습니다.
사용자가 UI를 통해 보고 조작할 수 있는 리소스를 계속 제어할 수 있습니다. Kubernetes API 서버는 Google Cloud 콘솔을 통해 생성된 모든 요청의 인증, 승인, 감사 로깅을 계속 수행합니다.
인증
Google Cloud 콘솔에서 클러스터에 로그인할 수 있도록 다음 인증 방법 중 하나로 등록된 클러스터를 설정해야 합니다.
Google ID: 이 옵션을 사용하면 사용자가 Google Cloud ID를 사용하여 로그인할 수 있습니다. 사용자가 이미 Google ID를 사용하여 Google Cloud에 액세스할 수 있으면 이 옵션을 사용합니다. Google ID를 사용하여 Google Cloud 콘솔에 대한 액세스를 설정하려면 Connect 게이트웨이 설정을 참조하세요.
OpenID Connect(OIDC): 클러스터가 OIDC ID 공급업체를 사용하도록 구성된 경우 이를 사용하여 Google Cloud 콘솔에서 클러스터에 인증할 수 있습니다. 다음 가이드에서 클러스터에 OIDC를 설정하는 방법을 참조하세요.
- OIDC로 Anthos Identity Service용 클러스터 구성: 이 가이드에서는 클러스터별로 OIDC 인증을 설정하는 방법을 설명합니다.
- Fleet용 Anthos Identity Service 설정: 이 옵션을 사용하면 Fleet 수준에서 OIDC를 설정할 수 있습니다.
Bearer 토큰: 앞선 Google 제공 솔루션이 조직에 적합하지 않으면 Kubernetes 서비스 계정을 사용하여 인증을 설정하고 Bearer 토큰을 사용하여 로그인할 수 있습니다. 자세한 내용은 Bearer 토큰을 사용하여 설정을 참조하세요.
Google Cloud 콘솔에서 Anthos 클러스터에 로그인
클러스터에 로그인하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 Anthos 클러스터 메뉴로 이동합니다.
클러스터 목록에서 등록된 클러스터 옆에 있는 로그인 버튼을 클릭합니다.
로그인하려는 방식을 선택합니다.
- Google ID를 사용하는 경우 Google ID를 사용하여 로그인을 선택하고 사용자 이름 및 비밀번호 필드를 입력한 후 로그인을 클릭합니다.
- KSA 토큰을 사용하여 로그인하는 경우 토큰을 선택하고 토큰 필드에 KSA의 Bearer 토큰을 채운 다음 로그인을 클릭합니다.
- OpenID Connect(OIDC)를 사용하는 경우 OpenID Connect를 선택한 다음 로그인을 클릭합니다.
인증이 성공하면 클러스터를 검사하고 해당 노드에 대한 세부정보를 가져올 수 있습니다.
승인
클러스터의 API 서버에서 Google Cloud Platform 콘솔을 통해 인증할 때 사용하는 ID의 승인 확인이 수행됩니다.
클러스터에 로그인하는 모든 계정은 최소한 클러스터에 다음 Kubernetes RBAC역할이 있어야 합니다.
이러한 역할은 클러스터에 대한 읽기 전용 액세스 권한 및 노드 세부정보를 제공합니다. 역할이 모든 리소스에 대한 액세스 권한을 제공하는 것은 아니므로 Google Cloud 콘솔의 일부 기능을 사용하지 못할 수 있습니다. 예를 들어 이러한 역할은 Kubernetes 보안 비밀 또는 포드 로그에 대한 액세스를 허용하지 않습니다.
계정에는 edit
또는 cluster-admin
등을 통해 다른 RBAC 권한이 부여되어 클러스터 내에서 더 많은 작업을 수행할 수 있습니다. 자세한 내용은 RBAC 문서를 참조하세요.