Vista geral do Connect Agent

Quando regista um cluster fora Google Cloud da sua frota, Google Cloud usa uma implementação denominada agente Connect para estabelecer uma ligação entre o cluster e o seu projeto Google Cloud e processar pedidos do Kubernetes. O agente Connect não é necessário para estabelecer uma ligação para clusters do GKE em execução no Google Cloud.

Isto permite o acesso ao cluster e às funcionalidades de gestão de cargas de trabalho no Google Cloud, incluindo uma interface do utilizador unificada, a Google Cloud consola, para interagir com o seu cluster.

Se a sua rede estiver configurada para permitir pedidos de saída, pode configurar o agente Connect para atravessar NATs, proxies de saída e firewalls para estabelecer uma ligação encriptada de longa duração entre o servidor da API Kubernetes do seu cluster e o seu projeto Google Cloud . Assim que esta ligação estiver ativada, pode usar as suas próprias credenciais para iniciar sessão novamente nos seus clusters e aceder aos detalhes sobre os respetivos recursos do Kubernetes. Isto replica eficazmente a experiência da IU que, de outra forma, só está disponível para clusters do GKE.

Após a ligação ser estabelecida, o software do agente de ligação pode trocar credenciais da conta, detalhes técnicos e metadados sobre a infraestrutura e as cargas de trabalho ligadas necessários para os gerir com o Google Cloud, incluindo os detalhes dos recursos, das aplicações e do hardware. Google Cloud

Estes dados do serviço de cluster estão associados ao seu Google Cloud projeto e conta. A Google utiliza estes dados para manter um plano de controlo entre o seu cluster e Google Cloud, para lhe fornecer quaisquer Google Cloud serviços e funcionalidades que solicitar, incluindo facilitar o apoio técnico, a faturação, o fornecimento de atualizações, bem como para medir e melhorar a fiabilidade, a qualidade, a capacidade e a funcionalidade do Connect e dos Google Cloud serviços disponíveis através do Connect.

Mantém o controlo dos dados enviados através do Connect: o seu servidor da API Kubernetes realiza a autenticação, a autorização e o registo de auditoria em todos os pedidos através do Connect. A Google e os utilizadores podem aceder a dados ou APIs através do Connect depois de terem sido autorizados pelo administrador do cluster (por exemplo, através do RBAC); o administrador do cluster pode revogar essa autorização.

Associe funções de IAM

A gestão de identidade e de acesso (IAM) permite que os utilizadores, os grupos e as contas de serviço acedam às Google Cloud APIs e realizem tarefas nos Google Cloud produtos.

Tem de fornecer funções específicas do IAM para iniciar o agente Connect e interagir com o cluster através da Google Cloud consola ou da CLI Google Cloud. Estas funções não permitem o acesso direto a clusters associados. Pode saber mais sobre como iniciar sessão em clusters a partir da Google Cloud consola em Trabalhar com clusters a partir da Google Cloud consola.

Algumas destas funções permitem-lhe aceder a informações sobre clusters, incluindo:

  • Nomes dos clusters
  • Chaves públicas
  • Endereços IP
  • Fornecedores de identidade
  • Versões do Kubernetes
  • Tamanho do cluster
  • Outros metadados de clusters

O Connect usa as seguintes funções IAM:

Nome da função Título da função Descrição Autorizações
roles/gkehub.editor Editor do hub Fornece acesso de edição aos recursos do GKE Hub.

Autorizações para Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizações para o Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer Visualizador do hub Dê acesso só de leitura ao Hub e aos recursos relacionados.

Autorizações para Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizações para o Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect Agente do GKE Connect Oferece a capacidade de estabelecer novas ligações entre clusters externos e o Google. gkehub.endpoints.connect

Utilização de recursos e requisitos

Normalmente, o agente do Connect instalado no registo usa 500 m de CPU e 200 Mi de memória. No entanto, esta utilização pode variar consoante o número de pedidos feitos ao agente por segundo e a dimensão desses pedidos. Estes podem ser afetados por vários fatores, incluindo o tamanho do cluster, o número de utilizadores que acedem ao cluster através da Google Cloud consola (quanto mais utilizadores e/ou cargas de trabalho, mais pedidos) e o número de funcionalidades ativadas na frota no cluster.