Descripción general de Connect
Después de instalar clústeres de Anthos en un equipo físico, Connect usa una implementación llamada Connect Agent para establecer una conexión entre tus clústeres y tu proyecto de Google Cloud, y manejar las solicitudes de Kubernetes.
Connect te permite conectarte a cualquiera de los clústeres de Kubernetes a Google Cloud. Esto permite el acceso al clúster y a las funciones de administración de cargas de trabajo, incluida una interfaz de usuario unificada, Cloud Console, para interactuar con el clúster.
El agente de Connect administra la información de las credenciales de tu cuenta y los detalles técnicos de las cargas de trabajo y la infraestructura del clúster conectado, incluidos los recursos, las aplicaciones y el hardware.
Estos datos del servicio de clúster se asocian a tu cuenta y proyecto de Google Cloud. Google usa estos datos para mantener un plano de control entre tu clúster y Google Cloud a fin de proporcionarte cualquier servicio de Google Cloud y las funciones que solicitas, lo que incluye facilitar la asistencia, la facturación, las actualizaciones y la medición, y mejorar la confiabilidad, la calidad, la capacidad y la funcionalidad de los servicios de Connect y Google Cloud disponibles a través de Connect.
Para obtener más información sobre Connect, consulta la Descripción general de Connect.
Administra clústeres en Cloud Console
Cloud Console ofrece una interfaz de usuario central para administrar todos tus clústeres de Kubernetes y sus recursos sin importar dónde se ejecuten. Todos tus recursos se muestran en un solo panel y es fácil obtener visibilidad de las cargas de trabajo en varios clústeres de Kubernetes.
Cloud Console simplifica la depuración, en especial, cuando tus clústeres se distribuyen en diferentes entornos y redes. Cloud Console te permite determinar con rapidez el estado de las cargas de trabajo y te permite modificarlas como si todas se ejecutaran en una sola nube.
Tú controlas los recursos que los usuarios pueden ver y manipular a través de la IU: tu servidor de la API de Kubernetes continúa realizando la autenticación, la autorización y el registro de auditoría en todas las solicitudes que se realizan a través de Cloud Console.
Para obtener más información, consulta Cloud Console.
Acceder a los clústeres de Anthos en Google Cloud Console
Para acceder a un clúster, realiza los siguientes pasos:
Visita el menú de clústeres de Anthos en Cloud Console.
En la lista de clústeres, haz clic en el botón Login (Acceder) al lado del clúster registrado.
Elige cómo deseas acceder:
- Si usas la autenticación básica, seleccionaAutenticación básica , complete la secciónNombre de usuario comoContraseña y, luego, enInicio de sesión.
- Si usas un token de KSA para acceder, selecciona Token, completa el campo Token con el token del portador de la KSA y, luego, haz clic en Inicio de sesión.
- Si usas OpenID Connect (OIDC), selecciona OpenID Connect y, a continuación, haz clic en Inicio de sesión.
Si autenticas correctamente, puedes inspeccionar el clúster y obtener detalles sobre sus nodos.
Autenticación
Puedes usar Google Cloud Console para acceder a clústeres registrados de tres maneras:
- Mediante la autenticación básica, que usa un nombre de usuario y un archivo de contraseña estática. Para obtener más información, consulta Archivo de contraseña estática.
- Usa un token del portador. Se admiten muchos tipos de tokens del portador, como se especifica en autenticación de Kubernetes. El método más fácil es crear una cuenta de servicio de Kubernetes (KSA) en el clúster y usar su token del portador para acceder.
- Mediante un proveedor de OpenID Connect (OIDC).
Autorización
El servidor de la API del clúster realiza las verificaciones de autorización con la identidad que usas cuando realizas la autenticación a través de Google Cloud Console.
Todas las cuentas que acceden a un clúster deben conservar al menos los siguientes roles de RBAC de Kubernetes en el clúster:
Estos roles proporcionan acceso de solo lectura a un clúster y detalles sobre sus nodos. Los roles no proporcionan acceso a todos los recursos, por lo que es posible que algunas funciones de Google Cloud Console no estén disponibles. Por ejemplo, estos roles no permiten el acceso a los secretos de Kubernetes ni a los registros de Pods.
Se pueden otorgar permisos de RBAC a otras cuentas, como a través de edit
o cluster-admin
, para hacer mucho más dentro del clúster. Para obtener más información, consulta la documentación de RBAC.