Panoramica di Connect
Dopo aver installato i cluster Anthos su Bare Metal, Connect utilizza un deployment chiamato Agente Connect per stabilire una connessione tra i tuoi cluster e il tuo progetto Google Cloud e per gestire le richieste Kubernetes.
Connect consente di connettere qualsiasi cluster Kubernetes a Google Cloud. Ciò consente l'accesso al cluster e alle funzionalità di gestione dei carichi di lavoro, tra cui un'interfaccia utente unificata, Google Cloud Console, per interagire con il cluster.
L'agente Connect gestisce le informazioni sulle credenziali dell'account, nonché i dettagli tecnici dell'infrastruttura del cluster e dei carichi di lavoro connessi, incluse risorse, applicazioni e hardware.
Questi dati di servizio del cluster sono associati al tuo progetto e/o al tuo account Google Cloud. Google utilizza questi dati per mantenere un piano di controllo tra il cluster e Google Cloud, per fornirti i servizi e le funzionalità Google Cloud richiesti, tra cui facilitare l'assistenza, la fatturazione, fornire gli aggiornamenti e misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.
Per ulteriori informazioni su Connect, consulta la panoramica di Connect
Gestione dei cluster in Google Cloud Console
Google Cloud Console offre un'interfaccia utente centrale per la gestione di tutti i cluster Kubernetes e delle relative risorse, indipendentemente da dove sono in esecuzione. Tutte le tue risorse sono mostrate in un'unica dashboard ed è facile ottenere visibilità sui tuoi carichi di lavoro su più cluster Kubernetes.
Google Cloud Console semplifica il debug, soprattutto quando i tuoi cluster sono distribuiti in diversi ambienti e reti. Google Cloud Console ti consente di determinare rapidamente i carichi di lavoro e ti permette di modificarli come se fossero tutti in esecuzione in un unico cloud.
Sei tu ad avere il controllo delle risorse che gli utenti possono visualizzare e manipolare tramite l'interfaccia utente: il server API di Kubernetes continua a eseguire l'autenticazione, l'autorizzazione e l'audit logging per tutte le richieste effettuate tramite Google Cloud Console.
Per saperne di più, consulta Google Cloud Console.
Accesso ai cluster Anthos in Google Cloud Console
Per accedere a un cluster, esegui i seguenti passaggi:
Visita il menu Cluster Anthos in Google Cloud Console.
Nell'elenco dei cluster, fai clic sul pulsante Accedi accanto al cluster registrato.
Scegli la modalità di accesso che preferisci:
- Se utilizzi l'autenticazione di base, seleziona Autenticazione di base, compila i campi Nome utente e Password e fai clic su Accedi.
- Se utilizzi un token KSA per accedere, seleziona Token, compila il campo Token con il token di connessione di KSA e fai clic su Login.
- Se utilizzi OpenID Connect (OIDC), seleziona OpenID Connect, quindi fai clic su Login.
Se l'autenticazione è riuscita, puoi controllare il cluster e ottenere informazioni dettagliate sui suoi nodi.
Autenticazione
Puoi utilizzare Google Cloud Console per accedere ai cluster registrati in tre modi:
- Utilizzando l'autenticazione di base, che utilizza un nome utente e un file di password statico. Per saperne di più, consulta File password statico.
- usando un token di connessione. Sono supportati molti tipi di token di connessione, come specificato in Kubernetes Authentication. Il metodo più semplice è creare un account di servizio Kubernetes (KSA) nel cluster e utilizzare il relativo token di connessione per accedere.
- Utilizzando un provider OpenID Connect (OIDC).
Autorizzazione
I controlli di autorizzazione vengono eseguiti dal server API del cluster rispetto all'identità che utilizzi quando esegui l'autenticazione tramite Google Cloud Console.
Tutti gli account che accedono a un cluster devono avere almeno i seguenti ruoli RBAC di Kubernetes nel cluster:
Questi ruoli forniscono l'accesso di sola lettura a un cluster e i dettagli sui nodi. I ruoli non forniscono l'accesso a tutte le risorse, quindi alcune funzionalità di Google Cloud Console potrebbero non essere disponibili; ad esempio, questi ruoli non consentono l'accesso ai secret di Kubernetes o ai log dei pod.
Agli account possono essere concesse altre autorizzazioni RBAC, ad esempio tramite edit
o
cluster-admin
, per eseguire ulteriori operazioni all'interno del cluster. Per ulteriori informazioni, consulta la documentazione di RBAC.