Wenn Sie den Abschnitt gkeConnect in die Konfigurationsdatei des Administratorclusters ausfüllen, wird der Cluster während der Erstellung oder Aktualisierung in Ihrer Flotte registriert. Zum Aktivieren der Flottenverwaltungsfunktionen stellt Google Cloud den Connect-Agent bereit und erstellt ein Google-Dienstkonto, das das Projekt darstellt, für das der Cluster registriert ist.
Der Connect-Agent stellt eine Verbindung mit dem Dienstkonto her, um Anfragen an den Kubernetes API-Server des Clusters zu verarbeiten. Dies ermöglicht den Zugriff auf Features zur Cluster- und Arbeitslastverwaltung in Google Cloud, einschließlich des Zugriffs auf die Google Cloud Console, mit der Sie mit Ihrem Cluster interagieren können.
Der Kubernetes API-Server des Administratorclusters muss in der Lage sein, Anfragen vom Connect-Agent zu autorisieren. Um dies zu gewährleisten, werden für das Dienstkonto die folgenden rollenbasierten Zugriffssteuerungsrichtlinien (RBAC) konfiguriert:
Eine Identitätsrichtlinie, die den Connect-Agent autorisiert, Anfragen im Namen des Dienstkontos an den Kubernetes API-Server zu senden.
Eine Berechtigungsrichtlinie, die die Vorgänge angibt, die in anderen Kubernetes-Ressourcen zulässig sind.
Das Dienstkonto und die RBAC-Richtlinien sind erforderlich, damit Sie den Lebenszyklus Ihrer Nutzercluster in der Google Cloud Console verwalten können.