Quando você preenche a
seção gkeConnect
no arquivo de configuração do cluster de administrador, o cluster é registrado na sua
frota durante a criação ou atualizar. Para ativar
a funcionalidade de gerenciamento de frota, o Google Cloud implanta o
agente do Connect e cria uma conta de serviço do Google
que representa o projeto em que o cluster está registrado.
O agente do Connect estabelece uma conexão com a conta de serviço para processar
solicitações para o servidor da API Kubernetes do cluster. Assim, você tem acesso aos
recursos de gerenciamento de clusters e cargas de trabalho no Google Cloud, incluindo o acesso
ao Console do Google Cloud, que permite interagir com
o cluster.
O servidor da API Kubernetes do cluster de administrador precisa autorizar solicitações do agente do Connect. Para garantir isso, as seguintes
políticas de controle de acesso baseado em papéis (RBAC)
são configuradas na conta de serviço:
Uma política de falsificação de identidade que autoriza o agente do Connect a enviar solicitações ao servidor da API Kubernetes em nome de uma conta de serviço.
Uma política de permissões que especifica as operações permitidas em outros recursos do Kubernetes.
A conta de serviço e as políticas do RBAC são necessárias para gerenciar o ciclo de vida dos clusters de usuário no Console do Google Cloud.