Halaman ini diterjemahkan oleh Cloud Translation API.

Yang menggunakan Connect

Topik terakhir diubah: 18 Juni 2024

Saat Anda mendaftarkan cluster Kubernetes ke Google Cloud menggunakan Membangun hubungan, jangka panjang, diautentikasi dan dienkripsi akan dibuat koneksi antara cluster Anda dan Google Cloud bidang kontrol. Koneksi menampilkan informasi tentang cluster di Konsol Google Cloud, yang memungkinkan Anda mengelola dan men-deploy konfigurasi, resource ke cluster menggunakan komponen dan fitur GKE Enterprise, seperti Config Management.

Topik ini menjelaskan sifat koneksi antara Google Cloud dan Terhubung dan berikan detail tentang sisi Google Cloud yang beroperasi pada cluster Anda melalui Connect.

Tentang hubungan antara Google Cloud dan Connect

Seperti yang dijelaskan dalam topik Fitur keamanan, hanya bidang kontrol Google Cloud yang membuat permintaan Hubungkan ke setiap cluster yang terhubung (misalnya, ke cluster server API), dan cluster akan mengirimkan respons kembali ke bidang kontrol. (Kelompok layanan dan resource tidak dapat memulai permintaan ke bidang kontrol melalui Connect.) Dengan koneksi ini, pengguna yang diotorisasi dan otomatisasi sisi Google dapat dan melakukan otentikasi terhadap cluster.

Misalnya, Connect memungkinkan Konsol Google Cloud mendapatkan informasi tentang workload dan layanan; atau mengizinkan Manajemen Konfigurasi untuk menginstal atau mengupdate agen Connect dalam cluster dan mengamati status sinkronisasi. Connect juga memungkinkan agen pengukuran mengamati jumlah vCPU dalam cluster yang terhubung.

Connect tidak menyediakan transpor data untuk image container, load balancing, koneksi database, Logging, atau Pemantauan. Anda harus membuat konektivitas untuk semuanya secara paralel melalui mekanismenya sendiri.

Akses pengguna Konsol Google Cloud ke cluster melalui Connect

Setelah pengguna di organisasi Anda login ke mengelompokkan melalui konsol Google Cloud, mereka memiliki izin cluster tertentu ditentukan oleh {i>Role-based access controls<i} (RBAC) yang ditetapkan untuk mereka. Tujuan cluster (bukan Connect) menerapkan izin. Standar Log Kubernetes memungkinkan Anda mengaudit tindakan yang dilakukan setiap pengguna dalam mengelola cluster.

Tabel berikut menunjukkan bagian konsol Google Cloud yang memungkinkan pengguna berinteraksi dengan klaster melalui Connect.

Bagian Konsol Google Cloud	Yang dapat dilakukan pengguna
Kubernetes Engine	Kelola cluster dan workload yang terdaftar di fleet, kelola komponen GKE Enterprise.
Penyajian Knative	Bangun, deploy, dan kelola layanan dan aplikasi.
Pasar	Men-deploy dan mengelola aplikasi pihak ketiga.

Akses pengontrol sisi Google Cloud ke cluster melalui Connect

Pengontrol sisi Google Cloud mengakses cluster dari bidang kontrol Google Cloud menggunakan Hubungkan Agen. Pengontrol ini menyediakan manajemen dan otomatisasi untuk fungsi yang Anda dalam cluster Anda. Misalnya, Config Management memiliki Pengontrol sisi Google Cloud yang membantu mengarahkan siklus proses agen dalam cluster serta menyediakan UI untuk mengonfigurasi dan melihat status Config Management yang berjalan di berbagai cluster.

Pengontrol yang berbeda mengakses klaster menggunakan identitas yang berbeda, dan Anda dapat mengaudit setiap aktivitas pengontrol di Kubernetes log audit.

Tabel berikut merangkum cara pengontrol sisi Google Cloud beroperasi melalui Connect. Tabel ini menyoroti detail penting tentang pengontrol: izin yang diperlukan, ID mereka di log audit Kubernetes, dan apakah Anda dapat menonaktifkannya atau tidak.

Menonaktifkan komponen dalam konteks ini berarti mematikan sepenuhnya, dengan tidak ada bagian individu dari komponen yang dapat digunakan dalam klaster.

Nama Komponen Dapat dinonaktifkan? Peran cluster / izin RBAC Deskripsi ID dalam log audit cluster

Feature Authorizer

Nama Komponen	Dapat dinonaktifkan?	Peran cluster / izin RBAC	Deskripsi	ID dalam log audit cluster
Feature Authorizer	Tidak (diaktifkan secara default)	`cluster-admin`	{i> Feature Authorizer<i} menambahkan RBAC untuk didukung armada komponen, atau fitur, yang beroperasi di Cluster Kubernetes, yang memastikan setiap cluster hanya memiliki izin akses yang diperlukan untuk menjalankan fungsinya. Anda tidak dapat menonaktifkan {i> Feature Authorizer<i} selama ada Keanggotaan dalam project. Lihat Otorisasi fitur dalam fleet untuk informasi lebih lanjut tidak akurat atau tidak sesuai.	service-`project-number`@gcp-sa-gkehub.
Config Management	Ya (dinonaktifkan secara default)	`cluster-admin`	Pengontrol Config Management mengelola kontrolnya sendiri agen dalam cluster serta menyediakan UI yang menunjukkan status Config Management di semua cluster dalam perangkat seluler. Pengontrol menginstal komponen dalam cluster dan membuat akun layanan lokal dengan izin akses yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, Pengontrol Config Management membaca informasi status dari agen dalam cluster-nya.	service-`project-number`@gcp-sa-acm.
Pengukuran penggunaan	Tidak (diaktifkan secara default)	Lihat definisi RBAC	Pengontrol pengukuran membaca informasi dasar tentang cluster untuk menyediakan layanan penagihan. Pengontrol ini memerlukan izinnya untuk: Meter berdasarkan kapasitas vCPU node. Tonton dan hapus Resource kustom `metering.gke.io/usagerecords`. Membuat dan mengupdate `anthos.gke.io/entitlements` resource kustom. Anda tidak dapat menonaktifkan Pengukuran, selama Pengukuran terdaftar Keanggotaan dalam project.	service-`project-number`@gcp-sa-mcmetering.

Tidak (diaktifkan secara default)

cluster-admin

{i> Feature Authorizer<i} menambahkan RBAC untuk didukung armada komponen, atau fitur, yang beroperasi di Cluster Kubernetes, yang memastikan setiap cluster hanya memiliki izin akses yang diperlukan untuk menjalankan fungsinya.

Anda tidak dapat menonaktifkan {i> Feature Authorizer<i} selama ada Keanggotaan dalam project.

Lihat Otorisasi fitur dalam fleet untuk informasi lebih lanjut tidak akurat atau tidak sesuai.

service-project-number@gcp-sa-gkehub.

Config Management

Ya (dinonaktifkan secara default)

cluster-admin

Pengontrol Config Management mengelola kontrolnya sendiri agen dalam cluster serta menyediakan UI yang menunjukkan status Config Management di semua cluster dalam perangkat seluler.

Pengontrol menginstal komponen dalam cluster dan membuat akun layanan lokal dengan izin akses yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, Pengontrol Config Management membaca informasi status dari agen dalam cluster-nya.

service-project-number@gcp-sa-acm.

Pengukuran penggunaan

Tidak (diaktifkan secara default)

Lihat definisi RBAC

Pengontrol pengukuran membaca informasi dasar tentang cluster untuk menyediakan layanan penagihan.

Pengontrol ini memerlukan izinnya untuk:

Meter berdasarkan kapasitas vCPU node.
Tonton dan hapus Resource kustom metering.gke.io/usagerecords.
Membuat dan mengupdate anthos.gke.io/entitlements resource kustom.

Anda tidak dapat menonaktifkan Pengukuran, selama Pengukuran terdaftar Keanggotaan dalam project.

service-project-number@gcp-sa-mcmetering.

RBAC untuk komponen tertentu yang beroperasi melalui Connect

Definisi API berikut ini menunjukkan izin kontrol akses untuk berbagai resource komponen yang beroperasi melalui Connect.

Pengukuran penggunaan RBAC melalui Connect

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    hub.gke.io/owner-feature: metering
    hub.gke.io/project: [PROJECT_ID]
  name: metering
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/metering
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - get
  - watch
  - list
- apiGroups:
  - metering.gke.io
  resources:
  - usagerecords
  verbs:
  - get
  - list
  - watch
  - delete
- apiGroups:
  - anthos.gke.io
  resources:
  - entitlements
  verbs:
  - create
  - delete
  - get
  - list
  - update
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resources:
  - customresourcedefinitions
  verbs:
  - create
  - list
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resourceNames:
  - entitlements.anthos.gke.io
  resources:
  - customresourcedefinitions
  verbs:
  - get