Halaman ini diterjemahkan oleh Cloud Translation API.

Yang menggunakan Connect

Topik terakhir diubah: 4 November 2021

Saat Anda mendaftarkan cluster Kubernetes dengan Google Cloud menggunakan Connect, koneksi yang berumur panjang, diautentikasi, dan dienkripsi akan dibuat antara cluster Anda dan bidang kontrol Google Cloud. Koneksi menampilkan informasi tentang cluster di konsol Google Cloud, dan memungkinkan Anda mengelola serta men-deploy konfigurasi dan resource ke cluster menggunakan komponen dan fitur GKE Enterprise, seperti Config Management.

Topik ini menjelaskan sifat koneksi antara Google Cloud dan Connect, serta memberikan detail tentang pengontrol sisi Google Cloud yang beroperasi pada cluster Anda melalui Connect.

Tentang koneksi antara Google Cloud dan Connect

Seperti yang dijelaskan dalam topik Fitur keamanan, hanya bidang kontrol Google Cloud yang membuat permintaan melalui Hubungkan ke setiap cluster yang terhubung (misalnya, ke server API cluster), dan cluster akan mengirimkan respons kembali ke bidang kontrol. (Layanan dan resource cluster tidak dapat memulai permintaan ke bidang kontrol melalui Connect.) Dengan koneksi tersebut, pengguna yang diberi otorisasi dan otomatisasi sisi Google dapat mencapai dan melakukan autentikasi terhadap cluster.

Misalnya, Connect memungkinkan Google Cloud Console mendapatkan informasi beban kerja dan layanan; atau mengizinkan Config Management menginstal atau mengupdate agen dalam cluster Connect dan mengamati status sinkronisasi. Dengan Connect, agen pengukuran juga dapat mengamati jumlah vCPU dalam cluster yang terhubung.

Connect tidak menyediakan transportasi data untuk image container, load balancing, koneksi database, Logging, atau Monitoring. Anda harus membuat konektivitas bagi mereka secara paralel melalui mekanismenya sendiri.

Akses pengguna konsol Google Cloud ke cluster melalui Connect

Setelah pengguna di organisasi Anda login ke cluster melalui Konsol Google Cloud, mereka memiliki izin cluster khusus yang ditentukan oleh role-based access control (RBAC) yang ditetapkan kepada mereka. Cluster (bukan Connect) menerapkan izin. Log Kubernetes standar memungkinkan Anda mengaudit tindakan yang dilakukan setiap pengguna dalam mengelola cluster.

Tabel berikut menunjukkan bagian Konsol Google Cloud yang memungkinkan pengguna berinteraksi dengan cluster melalui Connect.

Bagian konsol Google Cloud	Yang dapat dilakukan pengguna
GKE Enterprise	Mengelola cluster dan workload yang terdaftar fleet-nya; mengelola komponen GKE Enterprise.
Kubernetes Engine	Kelola cluster dan workload yang terdaftar di fleet.
Cloud Run for Anthos	Bangun, deploy, serta kelola layanan dan aplikasi.
Marketplace	Deploy dan kelola aplikasi pihak ketiga.

Akses pengontrol sisi Google Cloud ke cluster melalui Connect

Pengontrol sisi Google Cloud mengakses cluster dari bidang kontrol Google Cloud menggunakan Connect Agent. Pengontrol ini memberikan pengelolaan dan otomatisasi untuk fungsi yang Anda aktifkan di cluster. Misalnya, Config Management memiliki pengontrol sisi Google Cloud yang membantu mengarahkan siklus proses agen dalam cluster dan menyediakan UI untuk mengonfigurasi serta melihat status Config Management yang berjalan di beberapa cluster.

Pengontrol yang berbeda mengakses cluster menggunakan identitas yang berbeda, dan Anda dapat mengaudit aktivitas setiap pengontrol di log audit Kubernetes.

Tabel berikut merangkum cara pengontrol sisi Google Cloud beroperasi melalui Connect. Tabel ini menyoroti detail penting tentang pengontrol: izin yang diperlukan, ID-nya dalam log audit Kubernetes, dan apakah Anda dapat menonaktifkannya atau tidak.

Menonaktifkan komponen dalam konteks ini berarti menonaktifkannya sepenuhnya, tanpa ada bagian individu dari komponen yang dapat digunakan dalam cluster.

Nama Komponen Dapat dinonaktifkan? Peran cluster / izin RBAC Deskripsi ID di log audit cluster

Feature Authorizer

Nama Komponen	Dapat dinonaktifkan?	Peran cluster / izin RBAC	Deskripsi	ID di log audit cluster
Feature Authorizer	Tidak (diaktifkan secara default)	`cluster-admin`	Pemberi Otorisasi Fitur menambahkan RBAC untuk komponen berkemampuan fleet, atau fitur, yang beroperasi di cluster Kubernetes, yang memastikan setiap komponen hanya memiliki izin tertentu yang diperlukan untuk menjalankan fungsinya. Anda tidak dapat menonaktifkan Pemberi Otorisasi Fitur selama ada Langganan yang terdaftar dalam project. Lihat Otorisasi fitur dalam fleet untuk informasi selengkapnya.	service-`project-number`@gcp-sa-gkehub.iam.gserviceaccount.com
Config Management	Ya (dinonaktifkan secara default)	`cluster-admin`	Pengontrol Config Management mengelola agen dalam cluster-nya sendiri dan menyediakan UI yang menampilkan status Config Management di seluruh cluster dalam suatu fleet. Pengontrol menginstal komponen dalam cluster dan membuat akun layanan lokal dengan izin yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, pengontrol Config Management akan membaca informasi status dari agen dalam cluster-nya.	service-`project-number`@gcp-sa-acm.iam.gserviceaccount.com
Pengukuran penggunaan	Tidak (diaktifkan secara default)	Lihat definisi RBAC	Pengontrol pengukuran membaca informasi dasar tentang cluster yang terhubung untuk menyediakan layanan penagihan. Pengontrol ini memerlukan izinnya untuk: Pengukur berdasarkan kapasitas vCPU node. Tonton dan hapus resource kustom `metering.gke.io/usagerecords`. Buat dan update resource kustom `anthos.gke.io/entitlements`. Anda tidak dapat menonaktifkan Pengukuran, selama ada Langganan yang terdaftar dalam project.	service-`project-number`@gcp-sa-mcmetering.iam.gserviceaccount.com

Tidak (diaktifkan secara default)

cluster-admin

Pemberi Otorisasi Fitur menambahkan RBAC untuk komponen berkemampuan fleet, atau fitur, yang beroperasi di cluster Kubernetes, yang memastikan setiap komponen hanya memiliki izin tertentu yang diperlukan untuk menjalankan fungsinya.

Anda tidak dapat menonaktifkan Pemberi Otorisasi Fitur selama ada Langganan yang terdaftar dalam project.

Lihat Otorisasi fitur dalam fleet untuk informasi selengkapnya.

service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com

Config Management

Ya (dinonaktifkan secara default)

cluster-admin

Pengontrol Config Management mengelola agen dalam cluster-nya sendiri dan menyediakan UI yang menampilkan status Config Management di seluruh cluster dalam suatu fleet.

Pengontrol menginstal komponen dalam cluster dan membuat akun layanan lokal dengan izin yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, pengontrol Config Management akan membaca informasi status dari agen dalam cluster-nya.

service-project-number@gcp-sa-acm.iam.gserviceaccount.com

Pengukuran penggunaan

Tidak (diaktifkan secara default)

Lihat definisi RBAC

Pengontrol pengukuran membaca informasi dasar tentang cluster yang terhubung untuk menyediakan layanan penagihan.

Pengontrol ini memerlukan izinnya untuk:

Pengukur berdasarkan kapasitas vCPU node.
Tonton dan hapus resource kustom metering.gke.io/usagerecords.
Buat dan update resource kustom anthos.gke.io/entitlements.

Anda tidak dapat menonaktifkan Pengukuran, selama ada Langganan yang terdaftar dalam project.

service-project-number@gcp-sa-mcmetering.iam.gserviceaccount.com

RBAC untuk komponen tertentu yang beroperasi melalui Connect

Definisi API berikut menunjukkan izin kontrol akses untuk berbagai resource komponen yang beroperasi melalui Connect.

Pengukuran penggunaan RBAC melalui Connect

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    hub.gke.io/owner-feature: metering
    hub.gke.io/project: [PROJECT_ID]
  name: metering
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/metering
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - get
  - watch
  - list
- apiGroups:
  - metering.gke.io
  resources:
  - usagerecords
  verbs:
  - get
  - list
  - watch
  - delete
- apiGroups:
  - anthos.gke.io
  resources:
  - entitlements
  verbs:
  - create
  - delete
  - get
  - list
  - update
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resources:
  - customresourcedefinitions
  verbs:
  - create
  - list
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resourceNames:
  - entitlements.anthos.gke.io
  resources:
  - customresourcedefinitions
  verbs:
  - get