Quando compili la
sezione gkeConnect
nel file di configurazione del cluster di amministrazione, il cluster viene registrato nella tua
flotta durante la creazione o l'aggiornamento. Per abilitare la funzionalità di gestione del parco risorse, Google Cloud esegue il deployment dell'agente Connect e crea un account di servizio Google che rappresenta il progetto in cui è registrato il cluster.
L'agente Connect stabilisce una connessione con l'account di servizio per gestire le richieste al server API Kubernetes del cluster. Ciò consente l'accesso alle funzionalità di gestione dei cluster e dei carichi di lavoro in Google Cloud, incluso l'accesso alla console di Google Cloud, che ti consente di interagire con il cluster.
Il server API Kubernetes del cluster di amministrazione deve essere in grado di autorizzare le richieste dall'agente Connect. A questo scopo, nell'account di servizio sono configurati i seguenti criteri di controllo dell'accesso basati sui ruoli (RBAC):
Un criterio di rappresentazione che autorizza l'agente Connect a inviare richieste al server API Kubernetes per conto dell'account di servizio.
Un criterio di autorizzazione che specifica le operazioni consentite su altre risorse Kubernetes.
I criteri dell'account di servizio e dei criteri RBAC sono necessari per consentirti di gestire il ciclo di vita dei cluster utente in Google Cloud Console.