Descripción general de Connect
Después de instalar clústeres de Anthos en un equipo físico, Connect usa una implementación llamada Connect Agent para establecer una conexión entre tus clústeres y tu proyecto de Google Cloud, y manejar las solicitudes de Kubernetes.
Connect te permite conectarte a cualquiera de los clústeres de Kubernetes a Google Cloud. Esto permite el acceso al clúster y a las funciones de administración de cargas de trabajo, incluida una interfaz de usuario unificada, la consola de Google Cloud, para interactuar con el clúster.
El agente de Connect administra la información de las credenciales de tu cuenta y los detalles técnicos de las cargas de trabajo y la infraestructura del clúster conectado, incluidos los recursos, las aplicaciones y el hardware.
Estos datos del servicio de clúster se asocian a tu cuenta y proyecto de Google Cloud. Google usa estos datos para mantener un plano de control entre tu clúster y Google Cloud a fin de proporcionarte cualquier servicio de Google Cloud y las funciones que solicitas, lo que incluye facilitar la asistencia, la facturación, las actualizaciones y la medición, y mejorar la confiabilidad, la calidad, la capacidad y la funcionalidad de los servicios de Connect y Google Cloud disponibles a través de Connect.
Para obtener más información sobre Connect, consulta la Descripción general de Connect.
Administra clústeres en la consola de Google Cloud
La consola de Google Cloud ofrece una interfaz de usuario central para administrar todos tus clústeres de Kubernetes y sus recursos sin importar dónde se ejecuten. Todos tus recursos se muestran en un solo panel y es fácil obtener visibilidad de las cargas de trabajo en varios clústeres de Kubernetes.
La consola de Google Cloud simplifica la depuración, en especial, cuando tus clústeres se distribuyen en diferentes entornos y redes. La consola de Google Cloud te permite determinar con rapidez el estado de las cargas de trabajo y te permite modificarlas como si todas se ejecutaran en una sola nube.
Tú controlas los recursos que los usuarios pueden ver y manipular a través de la IU: tu servidor de la API de Kubernetes continúa realizando la autenticación, la autorización y el registro de auditoría en todas las solicitudes que se realizan a través de la consola de Google Cloud.
Authentication
Tus clústeres registrados deben configurarse con uno de los siguientes métodos de autenticación para que puedas acceder a un clúster desde la consola de Google Cloud:
Identidad de Google: Esta opción permite que los usuarios accedan con su identidad de Google Cloud. Usa esta opción si tus usuarios ya tienen acceso a Google Cloud con una identidad de Google Cloud. Para configurar el acceso a la consola de Google Cloud con la identidad de Google, consulta Configura la puerta de enlace de Connect.
OpenID Connect (OIDC): Si el clúster está configurado para usar un proveedor de identidad de OIDC, puedes usarlo a fin de autenticarte en el clúster desde la consola de Google Cloud. Puedes obtener información para configurar OIDC para tus clústeres en las siguientes guías:
- Configura clústeres para Anthos Identity Service con OIDC: En esta guía, se muestra cómo configurar la autenticación de OIDC por clúster.
- Configura Anthos Identity Service para una flota: Esta opción te permite configurar OIDC a nivel de la flota.
Token del portador: Si las soluciones anteriores que ofrece Google no son adecuadas para tu organización, puedes configurar la autenticación con una cuenta de servicio de Kubernetes y con su token del portador para acceder. Para obtener más información, consulta Configura un token del portador.
Accede a los clústeres de Anthos en la consola de Google Cloud
Para acceder a un clúster, realiza los siguientes pasos:
Visita el menú de clústeres de Anthos en la consola de Google Cloud.
En la lista de clústeres, haz clic en el botón Login (Acceder) al lado del clúster registrado.
Elige cómo deseas acceder:
- Si usas la identidad de Google, selecciona Utilizar tu identidad de Google para acceder, completa los campos Nombre de usuario y Contraseña, y, luego, haz clic en Acceder.
- Si usas un token de KSA para acceder, selecciona Token, completa el campo Token con el token del portador de la KSA y, luego, haz clic en Inicio de sesión.
- Si usas OpenID Connect (OIDC), selecciona OpenID Connect y, a continuación, haz clic en Inicio de sesión.
Si autenticas correctamente, puedes inspeccionar el clúster y obtener detalles sobre sus nodos.
Autorización
El servidor de la API del clúster realiza las verificaciones de autorización con la identidad que usas cuando realizas la autenticación a través de Google Cloud Console.
Todas las cuentas que acceden a un clúster deben conservar al menos los siguientes roles de RBAC de Kubernetes en el clúster:
Estos roles proporcionan acceso de solo lectura a un clúster y detalles sobre sus nodos. Los roles no proporcionan acceso a todos los recursos, por lo que es posible que algunas funciones de Google Cloud Console no estén disponibles. Por ejemplo, estos roles no permiten el acceso a los secretos de Kubernetes ni a los registros de Pods.
Se pueden otorgar permisos de RBAC a otras cuentas, como a través de edit
o cluster-admin
, para hacer mucho más dentro del clúster. Para obtener más información, consulta la documentación de RBAC.