Connect 概览
安装 Anthos clusters on Bare Metal 后,Connect 使用名为 Connect Agent 的部署在集群与 Google Cloud 项目之间建立连接,并处理 Kubernetes 请求。
Connect 允许您将任何 Kubernetes 集群连接到 Google Cloud。这样,您就能够访问集群和工作负载管理功能(包括一个统一的界面 Cloud Console),以与集群进行交互。
Connect Agent 管理帐号凭据的相关信息,以及连接的集群基础架构和工作负载的技术详情,包括资源、应用和硬件。
此集群服务数据与您的 Google Cloud 项目和/或帐号相关联。Google 使用这些数据来维持集群和 Google Cloud 之间的控制平面,为您提供所请求的任何 GCP 服务和功能(包括提供支持、进行结算、提供更新),以及通过 Connect 衡量和改进 Connect 和 Google Cloud 服务的可靠性、质量、容量和功能。
如需详细了解 Connect,请参阅 Connect 概览
在 Cloud Console 中管理集群
Cloud Console 提供了一个中央界面,用于管理您的所有 Kubernetes 集群及其资源(无论它们在何处运行)。您的所有资源都显示在单个信息中心内;您可以轻松地查看多个 Kubernetes 集群的工作负载。
Cloud Console 可简化调试,尤其是当集群分布在不同环境和网络中时。借助 Cloud Console,您可以快速确定工作负载的运行状况,并对其进行修改(就像这些工作负载都在单个云中运行一样)。
您可以控制用户能够通过该界面查看和操作哪些资源:您的 Kubernetes API 服务器会继续对通过 Cloud Console 发出的所有请求执行身份验证、授权和审核日志记录。
如需了解详情,请参阅 Cloud Console。
在 Google Cloud Console 中登录 Anthos 集群
如需登录集群,请执行以下步骤:
访问 Cloud Console 中的 Anthos 集群菜单。
在集群列表中,点击已注册集群旁边的登录按钮。
选择要使用的登录方式:
- 如果您使用的是基本身份验证,请选择基本身份验证,填写用户名和密码字段,然后点击登录。
- 如果您使用 KSA 令牌登录,请选择令牌,在令牌字段中填写 KSA 不记名令牌,然后点击登录。
- 如果您使用的是 OpenID Connect (OIDC),请选择 OpenID Connect,然后点击登录。
成功通过身份验证后,您就可以检查集群并获取有关其节点的详细信息。
Authentication
您可以使用 Google Cloud Console 通过以下三种方式登录已注册的集群:
- 使用基本身份验证,这种方法使用用户名和静态密码文件登录集群。 如需了解详情,请参阅静态密码文件。
- 使用不记名令牌。支持 Kubernetes 身份验证中指定的多种不记名令牌。最简单的方法是在集群中创建 Kubernetes 服务帐号 (KSA),并使用其不记名令牌登录。
- 使用 OpenID Connect (OIDC) 提供商。
授权
集群的 API 服务器会针对您通过 Google Cloud Console 进行身份验证时使用的身份执行授权检查。
所有登录集群的帐号至少需要具有集群中的以下 Kubernetes RBAC 角色:
这些角色提供对集群及其节点的详细信息的只读权限。它们不提供对所有资源的访问权限,因此 Google Cloud Console 的某些功能可能无法使用;例如,这些角色不允许访问 Kubernetes Secret 或 Pod 日志。
可以向帐号授予其他 RBAC 权限,例如通过 edit
或 cluster-admin
在集群内中执行更多操作。如需了解详情,请参阅 RBAC 文档。