Questa pagina è stata tradotta dall'API Cloud Translation.

Che cosa utilizza Connect

Ultima modifica dell'argomento: 18 giugno 2024

Quando registri i tuoi cluster Kubernetes con Google Cloud utilizzando Connect, un'azienda di lunga durata autenticati e criptati viene stabilita una connessione tra i cluster e Google Cloud dal piano di controllo. La connessione restituisce le informazioni sui cluster Google Cloud e ti consente di gestire ed eseguire il deployment di configurazioni di risorse ai cluster utilizzando i componenti e le funzionalità di GKE Enterprise, ad esempio Config Management.

Questo argomento descrive la natura della connessione tra Google Cloud e Connettiti e fornisce dettagli sul lato Google Cloud che operano sui cluster tramite Connect.

Informazioni sulla connessione tra Google Cloud e Connect

Come descritto nell'argomento Funzionalità di sicurezza, solo il piano di controllo Google Cloud effettua le richieste Connettiti a ogni cluster connesso (ad esempio, a un cluster server API) e il cluster invia le risposte al piano di controllo. (Cluster i servizi e le risorse non possono avviare richieste al piano di controllo tramite Connect. La connessione consente agli utenti autorizzati e all'automazione lato Google di accedere ai cluster e autenticarsi.

Ad esempio: Connect consente alla console Google Cloud di ricevere informazioni carichi di lavoro e servizi; o consente a Config Management di installare aggiorna l'agente Connect nel cluster e osserva lo stato della sincronizzazione. Connect consente inoltre all'agente di misurazione di osservare il numero di vCPU in un cluster collegato.

Connect non fornisce il trasporto dati per le immagini container, bilanciamento del carico, connessioni di database, Logging Monitoraggio. Devi stabilire la connettività per quelli in parallelo tramite i loro meccanismi.

Accesso degli utenti della console Google Cloud ai cluster tramite Connect

Dopo che gli utenti dell'organizzazione accedi a un tramite la console Google Cloud, hanno autorizzazioni specifiche determinato dal controllo di accesso basato sui ruoli (RBAC) a loro assegnato. La (non Connect) applica le autorizzazioni. Standard I log di Kubernetes consentono di controllare le azioni eseguite da ogni utente nella gestione in un cluster.

La tabella seguente mostra quali parti della console Google Cloud consentono agli utenti interagire con i cluster tramite Connect.

Sezione della console Google Cloud	Cosa possono fare gli utenti
Kubernetes Engine	Gestisci i cluster e i carichi di lavoro registrati nel parco risorse, gestisci i componenti di GKE Enterprise.
Knative serving	Crea, esegui il deployment e gestisci servizi e applicazioni.
Mercato	Esegui il deployment e gestisci le applicazioni di terze parti.

Accesso del controller lato Google Cloud ai cluster tramite Connect

I controller lato Google Cloud accedono a un cluster al piano di controllo di Google Cloud Agente Connect. Questi controller forniscono gestione e automazione per la funzionalità e abilitare l'abilitazione sui cluster. Ad esempio, Config Management ha Controller lato Google Cloud che aiuta a indirizzare ciclo di vita degli agenti in-cluster e fornisce una UI per configurare e visualizzare lo stato di Config Management in esecuzione su più cluster.

Controller diversi accedono ai cluster usando identità diverse e controllare le attività di ogni controller in Kubernetes log di controllo.

La tabella seguente riassume il modo in cui i controller lato Google Cloud operare tramite Connect. La tabella mette in evidenza i dettagli chiave dei controller: le autorizzazioni di cui hanno bisogno, i relativi ID nei log di controllo di Kubernetes e se puoi disattivarli o meno.

In questo caso, disattivare un componente significa disattivarlo del tutto, utilizzando le singole parti del componente non possono essere utilizzate nei cluster.

Nome componente Può essere disattivato? Autorizzazioni RBAC / ruolo del cluster Descrizione ID nei log di controllo del cluster

Feature Authorizer

Nome componente	Può essere disattivato?	Autorizzazioni RBAC / ruolo del cluster	Descrizione	ID nei log di controllo del cluster
Feature Authorizer	No (attivata per impostazione predefinita)	`cluster-admin`	Autorizzatore delle caratteristiche aggiunge RBAC per abilitato al parco risorse componenti o funzionalità, che funzionano su Kubernetes, assicurando che ciascuno disponga solo autorizzazioni necessarie per eseguire le sue funzioni. Non puoi disabilitare Autorizzazione funzionalità finché sono presenti Abbonamenti nel progetto. Per ulteriori informazioni, consulta la sezione Autorizzazione delle funzionalità in un parco risorse.	service-`project-number`@gcp-sa-gkehub.iam.gserviceaccount.com
Config Management	Sì (disattivata per impostazione predefinita)	`cluster-admin`	Il controller Config Management gestisce il proprio nel cluster e fornisce una UI che mostra lo stato Config Management in tutti i cluster in un parco risorse. Il controller installa i componenti all'interno del cluster e crea un account di servizio locale con le autorizzazioni appropriate per eseguire il deployment di tutti i tipi di configurazioni Kubernetes per conto degli utenti. Quando non installa o gestisce componenti in cluster, il Controller Config Management legge le informazioni di stato dal proprio agente in cluster.	service-`project-number`@gcp-sa-acm.iam.gserviceaccount.com
Misurazione dell'utilizzo	No (attivata per impostazione predefinita)	Consulta la definizione di RBAC	Il controller di misurazione legge informazioni di base sui cluster collegati per fornire servizi di fatturazione. Questo controller richiede le autorizzazioni per: Misuratore basato sulla capacità vCPU del nodo. Controlla ed elimina `metering.gke.io/usagerecords` risorsa personalizzata. Crea e aggiorna la risorsa personalizzata `anthos.gke.io/entitlements`. Non puoi disabilitare la misurazione, purché siano presenti Abbonamenti nel progetto.	service-`project-number`@gcp-sa-mcmetering.iam.gserviceaccount.com

No (attivata per impostazione predefinita)

cluster-admin

Autorizzatore delle caratteristiche aggiunge RBAC per abilitato al parco risorse componenti o funzionalità, che funzionano su Kubernetes, assicurando che ciascuno disponga solo autorizzazioni necessarie per eseguire le sue funzioni.

Non puoi disabilitare Autorizzazione funzionalità finché sono presenti Abbonamenti nel progetto.

Per ulteriori informazioni, consulta la sezione Autorizzazione delle funzionalità in un parco risorse.

service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com

Config Management

Sì (disattivata per impostazione predefinita)

cluster-admin

Il controller Config Management gestisce il proprio nel cluster e fornisce una UI che mostra lo stato Config Management in tutti i cluster in un parco risorse.

Il controller installa i componenti all'interno del cluster e crea un account di servizio locale con le autorizzazioni appropriate per eseguire il deployment di tutti i tipi di configurazioni Kubernetes per conto degli utenti. Quando non installa o gestisce componenti in cluster, il Controller Config Management legge le informazioni di stato dal proprio agente in cluster.

service-project-number@gcp-sa-acm.iam.gserviceaccount.com

Misurazione dell'utilizzo

No (attivata per impostazione predefinita)

Consulta la definizione di RBAC

Il controller di misurazione legge informazioni di base sui cluster collegati per fornire servizi di fatturazione.

Questo controller richiede le autorizzazioni per:

Misuratore basato sulla capacità vCPU del nodo.
Controlla ed elimina metering.gke.io/usagerecords risorsa personalizzata.
Crea e aggiorna la risorsa personalizzata anthos.gke.io/entitlements.

Non puoi disabilitare la misurazione, purché siano presenti Abbonamenti nel progetto.

service-project-number@gcp-sa-mcmetering.iam.gserviceaccount.com

RBAC per componenti specifici che operano tramite Connect

Le seguenti definizioni API mostrano le autorizzazioni di controllo dell'accesso per diverse delle risorse dei componenti che operano su Connect.

RBAC per la misurazione dell'utilizzo tramite Connect

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    hub.gke.io/owner-feature: metering
    hub.gke.io/project: [PROJECT_ID]
  name: metering
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/metering
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - get
  - watch
  - list
- apiGroups:
  - metering.gke.io
  resources:
  - usagerecords
  verbs:
  - get
  - list
  - watch
  - delete
- apiGroups:
  - anthos.gke.io
  resources:
  - entitlements
  verbs:
  - create
  - delete
  - get
  - list
  - update
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resources:
  - customresourcedefinitions
  verbs:
  - create
  - list
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resourceNames:
  - entitlements.anthos.gke.io
  resources:
  - customresourcedefinitions
  verbs:
  - get