Visão geral do Connect
Depois que você instalar os clusters do Anthos em bare metal, o Connect usará uma implantação chamada agente do Connect para estabelecer uma conexão entre os clusters e o projeto do Google Cloud e para processar as solicitações do Kubernetes.
O Connect permite que você conecte qualquer um dos seus clusters do Kubernetes ao Google Cloud. Assim, é possível acessar o cluster e os recursos de gerenciamento de carga de trabalho. Isso inclui uma interface de usuário unificada, o console do Google Cloud, para interagir com o cluster.
O agente do Connect gerencia informações sobre as credenciais da sua conta, bem como os detalhes técnicos da infraestrutura e das cargas de trabalho do cluster conectado, incluindo recursos, aplicativos e hardware.
Esses dados do serviço de cluster estão associados ao seu projeto e/ou conta do Google Cloud. Esses dados são usados pelo Google para manter um plano de controle entre o cluster e o Google Cloud. Assim, é possível fornecer os serviços e recursos do Google Cloud exigidos, inclusive suporte facilitado, faturamento, fornecimento de atualizações e avaliação. Além de aprimorar a confiabilidade, a qualidade, a capacidade e a funcionalidade dos serviços do Connect e do Google Cloud disponíveis por meio do Connect.
Para mais informações sobre o Connect, consulte a Visão geral do Connect.
Como gerenciar clusters no Console do Google Cloud
O console do Google Cloud oferece uma interface central do usuário para gerenciar todos os clusters do Kubernetes e os recursos deles, onde quer que estejam em execução. Todos os recursos são exibidos em um único painel, e é fácil ter visibilidade das cargas de trabalho em vários clusters do Kubernetes.
O console do Google Cloud simplifica a depuração, especialmente quando os clusters são distribuídos em diferentes ambientes e redes. Com o console do Google Cloud, você determina rapidamente a integridade das cargas de trabalho e é possível modificá-las como se todas estivessem em execução em uma única nuvem.
Você mantém o controle sobre quais recursos os usuários podem visualizar e manipular pela IU: o servidor da API Kubernetes continua executando a autenticação, a autorização e o registro de auditoria em todas as solicitações feitas pelo console do Google Cloud.
Para mais informações, consulte o console do Google Cloud.
Como fazer login em clusters do Anthos no Console do Google Cloud
Para fazer login em um cluster, siga as seguintes etapas:
Acesse o menu de clusters do Anthos no console do Google Cloud.
Na lista de clusters, clique no botão Fazer login ao lado do cluster registrado.
Escolha como você fará login:
- Se estiver usando a autenticação básica, selecione Autenticação básica, preencha os campos Nome de usuário e Senha e clique em Login.
- Se você estiver usando um token da KSA para fazer login, selecione Token, preencha o campo Token com o token do portador da KSA e clique em Fazer login.
- Se você estiver usando o OpenID Connect (OIDC), selecione OpenID Connect e clique em Login.
Se a autenticação for concluída com sucesso, será possível inspecionar o cluster e receber detalhes sobre os nós.
Autenticação
É possível usar o console do Google Cloud para fazer login em clusters registrados de três maneiras:
- usando a autenticação básica, que utiliza um nome de usuário e um arquivo de senha estático. Para saber mais, consulte Arquivo de senha estático;
- usando um token do portador. Há muitos tipos dele compatíveis, conforme especificado em Autenticação do Kubernetes. O método mais fácil é criar uma conta de serviço do Kubernetes (KSA, na sigla em inglês) no cluster e usar o token do portador para fazer login.
- Usar um provedor OpenID Connect (OIDC).
Autorização
As verificações de autorização são realizadas pelo servidor de API do cluster. É analisada a identidade que você usa quando se autentica por meio do console do Google Cloud.
Todas as contas que fazem login em um cluster precisam manter pelo menos os seguintes papéis de RBAC do Kubernetes no cluster:
Esses papéis fornecem acesso somente leitura a um cluster e detalhes sobre os nós. Eles não concedem acesso a todos os recursos, portanto, alguns recursos do console do Google Cloud podem não estar disponíveis. Esses papéis não permitem o acesso aos secrets do Kubernetes e aos registros do pod, por exemplo.
As contas podem receber outras permissões do RBAC, como edit
ou cluster-admin
, para fazer mais no cluster. Para mais informações, consulte a documentação do
RBAC.