管理员集群 RBAC 政策

当您在管理员集群配置文件中填写 gkeConnect 部分后,系统会在创建或更新集群期间将集群注册到您的舰队。为了启用舰队管理功能,Google Cloud 会部署 Connect Agent,并创建一个 Google 服务帐号来代表集群注册到的项目。Connect Agent 会建立与该服务帐号的连接,以处理向集群的 Kubernetes API 服务器发出的请求。这样,您就能够访问 Google Cloud 中的集群和工作负载管理功能(包括访问 Google Cloud 控制台),以便与集群进行交互。

管理员集群的 Kubernetes API 服务器必须能够对来自 Connect Agent 的请求进行授权。为确保这一点,已在服务帐号上配置以下基于角色的访问权限控制 (RBAC) 政策

  • 模拟政策,用于授权 Connect Agent 代表服务帐号向 Kubernetes API 服务器发送请求。

  • 权限政策,用于指定允许对其他 Kubernetes 资源执行的操作。

您需要具有服务帐号和 RBAC 政策,才能在 Google Cloud 控制台中管理用户集群的生命周期。

后续步骤