Gérer des clusters avec l'interface utilisateur Anthos

Présentation de Connect

Une fois que vous avez installé les clusters Anthos sur Bare Metal, Connect utilise un déploiement appelé Agent Connect pour établir une connexion entre vos clusters et votre projet Google Cloud, et pour gérer les requêtes Kubernetes.

Connect vous permet de connecter n'importe lequel de vos clusters Kubernetes à Google Cloud. Vous pouvez ainsi accéder au cluster et aux fonctionnalités de gestion de charge de travail, y compris à une interface utilisateur unifiée, la console Google Cloud, pour interagir avec votre cluster.

L'agent Connect gère les informations sur les identifiants de votre compte, ainsi que les détails techniques de votre infrastructure de cluster et de vos charges de travail connectées, y compris les ressources, les applications et le matériel.

Ces données de service de cluster sont associées à votre projet et/ou à votre compte Google Cloud. Google utilise ces données pour maintenir un plan de contrôle entre votre cluster et Google Cloud, afin de vous fournir tous les services et fonctionnalités Google Cloud que vous demandez. Cela comprend l'assistance, la facturation, les mises à jour ainsi que l'évaluation et l'amélioration de la fiabilité, de la qualité, de la capacité et des fonctionnalités des services Connect et Google Cloud disponibles via Connect.

Pour en savoir plus sur Connect, consultez la présentation de Connect.

Gérer des clusters dans la console Google Cloud

La console Google Cloud offre une interface utilisateur centralisée pour gérer tous vos clusters Kubernetes et leurs ressources, quel que soit l'emplacement d'exécution. Toutes vos ressources sont affichées dans un tableau de bord unique, et vous pouvez obtenir facilement une visibilité sur vos charges de travail sur plusieurs clusters Kubernetes.

La console Google Cloud simplifie le débogage, en particulier lorsque vos clusters sont répartis dans différents environnements et réseaux. La console Google Cloud permet de déterminer rapidement l'état des charges de travail et d'y apporter des modifications comme si elles étaient toutes exécutées dans un seul cloud.

Vous contrôlez les ressources que les utilisateurs peuvent afficher et manipuler via l'UI : votre serveur d'API Kubernetes continue à effectuer des opérations d'authentification, d'autorisation et d'audit sur toutes les requêtes effectuées via la console Google Cloud.

Pour en savoir plus, consultez la page Console Google Cloud.

Se connecter aux clusters Anthos dans la console Google Cloud

Pour vous connecter à un cluster, procédez comme suit :

  1. Accédez au menu "Clusters Anthos" dans la console Google Cloud.

    Accéder au menu des clusters Anthos sur Bare Metal

  2. Dans la liste des clusters, cliquez sur le bouton Connexion situé à côté du cluster enregistré.

  3. Indiquez la manière dont vous souhaitez vous connecter :

    1. Si vous utilisez l'authentification de base, sélectionnez Authentification de base, renseignez les champs Nom d'utilisateur et Mot de passe, puis cliquez sur Connexion.
    2. Si vous utilisez un jeton KSA pour vous connecter, sélectionnez Jeton, renseignez le champ Jeton avec le jeton de support du KSA, puis cliquez sur Connexion.
    3. Si vous utilisez OpenID Connect (OIDC), sélectionnez OpenID Connect, puis cliquez sur Connexion.

Si vous parvenez à vous authentifier, vous pouvez inspecter le cluster et obtenir des informations sur ses nœuds.

Authentification

Vous pouvez utiliser la console Google Cloud pour vous connecter aux clusters enregistrés de trois manières différentes:

  1. Utiliser l'authentification de base, à l'aide d'un nom d'utilisateur et d'un fichier de mot de passe statique. Pour en savoir plus, consultez la page Fichier de mot de passe statique.
  2. Utiliser un jeton de support. De nombreux types de jetons de support sont acceptés, comme spécifié dans l'authentification Kubernetes. La méthode la plus simple consiste à créer un compte de service Kubernetes (KSA) dans le cluster et à utiliser son jeton de support pour se connecter.
  3. Utiliser un fournisseur OpenID Connect (OIDC)

Autorisation

Les vérifications d'autorisation sont effectuées par le serveur d'API du cluster par rapport à l'identité que vous utilisez pour vous authentifier via la console Google Cloud.

Tous les comptes se connectant à un cluster doivent au moins disposer des rôles Kubernetes RBAC suivants dans le cluster :

Ces rôles fournissent un accès en lecture seule à un cluster et des informations sur leurs nœuds. Étant donné que les rôles ne donnent pas accès à toutes les ressources, certaines fonctionnalités de la console Google Cloud peuvent ne pas être disponibles. Par exemple, ces rôles ne permettent pas d'accéder aux secrets Kubernetes ni aux journaux de pod.

Des comptes peuvent disposer d'autres autorisations RBAC, comme via edit ou cluster-admin, pour bénéficier de plus de fonctionnalités dans le cluster. Pour plus d'informations, consultez la documentation RBAC.