Antes de comenzar

Para registrar un clúster de Kubernetes fuera de Google Cloud, debes realizar los siguientes pasos, además de completar los requisitos previos.

Asegurar la conectividad de red

Para registrar correctamente tu clúster, debes asegurarte de que se pueda acceder a los siguientes dominios desde tu clúster de Kubernetes.

• cloudresourcemanager.googleapis.com resuelve los metadatos del proyecto de Google Cloud al que se conecta el clúster.
• oauth2.googleapis.com a fin de obtener tokens OAuth de corta duración para operaciones de agentes en comparación con gkeconnect.googleapis.com.
• gkeconnect.googleapis.com para establecer el canal que se usa para recibir solicitudes de Google Cloud y enviar respuestas.
• gkehub.googleapis.com para crear recursos de membresía del centro de Google Cloud que corresponden al clúster que conectas con Google Cloud.
• www.googleapis.com para autenticar los tokens de servicio de las solicitudes de servicio entrantes de Google Cloud.
• gcr.io y storage.googleapis.com para extraer la imagen del agente de GKE Connect.

Si deseas registrar el clúster mediante Workload Identity, también se debe poder acceder a los siguientes dominios:

• securetoken.googleapis.com
• iamcredentials.googleapis.com
• sts.googleapis.com

Si usas un proxy para Connect, también debes actualizar la lista de entidades permitidas del proxy con los dominios pertinentes.

Si usas gcloud para registrar tu clúster de Kubernetes, estos dominios también deben ser accesibles en el entorno en el que ejecutas los comandos de gcloud.

Usa los Controles del servicio de VPC

Si quieres usar Controles del servicio de VPC para mejorar la seguridad de los datos en tu aplicación, debes asegurarte de que los siguientes servicios se encuentren en el perímetro de servicio:

• API de Resource Manager (cloudresourcemanager.googleapis.com)
• API de GKE Connect (gkeconnect.googleapis.com)
• API de Fleet (gkehub.googleapis.com)

Si deseas registrar tu clúster con Workload Identity de la flota habilitado, también necesitas los siguientes servicios:

• API de credenciales de la cuenta de servicio de IAM (iamcredentials.googleapis.com)
• API del servicio de token de seguridad (sts.googleapis.com)

También debes configurar la conectividad privada para acceder a las API correspondientes. Puedes obtener información para hacerlo en Configura una conectividad privada.

Configura la identidad

Todas las opciones manuales de registro de clústeres fuera de Google Cloud requieren que configures la autenticación en Google. Esto puede ser de las siguientes opciones:

• Workload Identity de la flota (recomendado cuando esté disponible). Puedes obtener más información sobre las ventajas de habilitar Workload Identity de la flota en Usa Workload Identity de la flota.
• Una cuenta de servicio de Google Cloud

Los clústeres adjuntos se pueden registrar con la flota de Workload Identity habilitada si el clúster cumple con nuestros requisitos de clústeres adjuntos, como se describe a continuación. De lo contrario, registra los clústeres conectados con una cuenta de servicio de Google Cloud para la autenticación. En la siguiente sección, se muestra cómo crear una cuenta de servicio.

Crea una cuenta de servicio de Google Cloud usando gcloud.

Para registrar un clúster de forma manual con una cuenta de servicio de Google Cloud, necesitas un archivo JSON que contenga las credenciales de la cuenta de servicio. Para seguir el principio de privilegio mínimo, te recomendamos que crees una cuenta de servicio distinta para cada clúster de Kubernetes que registres y que solo le vincules las funciones de IAM para el clúster correspondiente.

Para crear este archivo, sigue estos pasos:

gcloud iam service-accounts create SERVICE_ACCOUNT_NAME --project=FLEET_HOST_PROJECT_ID

gcloud iam service-accounts list --project=FLEET_HOST_PROJECT_ID

MEMBERSHIP_NAME=MEMBERSHIP_NAME
FLEET_HOST_PROJECT_ID=FLEET_HOST_PROJECT_ID
SERVICE_ACCOUNT_NAME=SERVICE_ACCOUNT_NAME
gcloud projects add-iam-policy-binding ${FLEET_HOST_PROJECT_ID} \
   --member="serviceAccount:${SERVICE_ACCOUNT_NAME}@${FLEET_HOST_PROJECT_ID}.iam.gserviceaccount.com" \
   --role="roles/gkehub.connect" \
   --condition "expression=resource.name == \
'projects/${FLEET_HOST_PROJECT_ID}/locations/global/memberships/${MEMBERSHIP_NAME}',\
title=bind-${SERVICE_ACCOUNT_NAME}-to-${MEMBERSHIP_NAME}"

FLEET_HOST_PROJECT_ID=FLEET_HOST_PROJECT_ID
gcloud projects add-iam-policy-binding ${FLEET_HOST_PROJECT_ID} \
   --member="serviceAccount:SERVICE_ACCOUNT_NAME@${FLEET_HOST_PROJECT_ID}.iam.gserviceaccount.com" \
   --role="roles/gkehub.connect"

FLEET_HOST_PROJECT_ID=FLEET_HOST_PROJECT_ID
gcloud iam service-accounts keys create LOCAL_KEY_PATH \
   --iam-account=SERVICE_ACCOUNT_NAME@${FLEET_HOST_PROJECT_ID}.iam.gserviceaccount.com \
   --project=${FLEET_HOST_PROJECT_ID}

Requisitos previos del clúster adjunto

Según el tipo de clúster de terceros de Kubernetes que quieras registrar como clúster adjunto, es posible que debas cumplir con algunos requisitos adicionales para instalar el agente de Connect o usar Workload Identity de la flota.

Configura restricciones del contexto de seguridad (SCC) (clústeres de OpenShift)

En los clústeres OpenShift OKE y OKD, los administradores pueden usar SCC para controlar los permisos de los Pods. Para permitir la instalación del agente del agente en tu clúster, debes crear un SCC personalizado.

La siguiente definición de SCC de muestra especifica el conjunto de condiciones con las que se debe ejecutar el agente de Connect para que ser aceptado en el clúster:

# Connect Agent SCC
apiVersion: security.openshift.io/v1
kind: SecurityContextConstraints
metadata:
  name: gke-connect-scc
allowPrivilegeEscalation: false
# This is redundant with non-root + disallow privilege escalation,
# but we provide it for defense in depth.
requiredDropCapabilities:
- ALL
runAsUser:
  type: MustRunAsNonRoot
seLinuxContext:
  type: RunAsAny
supplementalGroups:
  type: MustRunAs
  ranges:
  - min: 1
    max: 65535
fsGroup:
  type: MustRunAs
  ranges:
  - min: 1
    max: 65535
volumes:
- secret
- projected
readOnlyRootFilesystem: true
seccompProfiles:
- docker/default
users:
groups:
  # Grants all service accounts in the gke-connect namespace access to this SCC
  - system:serviceaccounts:gke-connect

Si guardaste la definición de SCC como gke-connect-scc.yaml, usa la herramienta de línea de comandos de OpenShift oc a fin de crear el gke-connect-scc de SCC para tu clúster de la siguiente manera:

$ oc create -f gke-connect-scc.yaml

Para verificar que se creó la SCC personalizada, ejecuta el siguiente comando de oc:

$ oc get scc | grep gke-connect-scc

Requisitos Workload Identity de la Flota

Puedes registrar clústeres adjuntos con Workload Identity de flota habilitada si la plataforma crea un extremo OIDC público para el clúster (o te permite crear uno) o si tienes dedescubrimiento de las entidades emisoras de cuentas de servicio de Kubernetes habilitado para el clúster. Si no puedes cumplir con estos requisitos, debes registrar clústeres conectados con una cuenta de servicio de Google Cloud para la autenticación.

Para tipos de clústeres específicos, consulta lo siguiente:

• Clústeres de OpenShift: Se pueden registrar con Workload Identity de la flota habilitada después de configurar tu SCC personalizado, como se describió antes.
• Clústeres de categorías: Se requiere que la detección de entidades emisoras de cuentas de servicio esté habilitada para usar Workload Identity. Esto se habilita de forma predeterminada desde la versión 1.20 de Kubernetes. Si necesitas habilitar esta función, sigue las instrucciones en Proyección de volumen de tokens de cuentas de servicio. El descubrimiento de la entidad emisora de la cuenta de servicio se habilita de forma automática cuando el proyecto de volumen de token de la cuenta de servicio está habilitado.

Próximos pasos

Sigue las instrucciones para registrar un clúster.