管理クラスタ構成ファイルの gkeConnect
セクションに入力すると、クラスタの作成時または更新時にフリートに登録されます。フリート機能を有効にするため、Google Cloud は Connect エージェントをデプロイし、クラスタが登録されているプロジェクトを表す Google サービス アカウントを作成します。Connect エージェントは、クラスタの Kubernetes API サーバーへのリクエストを処理するためにサービス アカウントとの接続を確立します。これにより、Google Cloud のクラスタとワークロード管理機能にアクセスできるようになります。これには、Google Cloud コンソールへのアクセスが含まれ、クラスタを操作できます。
管理クラスタの Kubernetes API サーバーは、Connect エージェントからのリクエストを認可できる必要があります。このため、サービス アカウントには、次のロールベースのアクセス制御(RBAC)ポリシーが構成されています。
権限借用ポリシー: Connect エージェントがサービス アカウントに代わって Kubernetes API サーバーにリクエストを送信することを承認します。
権限ポリシー: 他の Kubernetes リソースに対して許可されているオペレーションを指定します。
Google Cloud コンソールでユーザー クラスタのライフサイクルを管理できるようにするために、サービス アカウントと RBAC ポリシーが必要です。