Información general sobre el agente de Connect

Cuando registras un clúster externo Google Cloud en tu flota, Google Cloud usa un Deployment llamado agente de Connect para establecer una conexión entre el clúster y tu proyecto de Google Cloudy para gestionar las solicitudes de Kubernetes. No es necesario usar el agente de Connect para establecer una conexión con los clústeres de GKE que se ejecutan en Google Cloud.

Esto permite acceder a las funciones de gestión de clústeres y cargas de trabajo de Google Cloud, incluida una interfaz de usuario unificada y una Google Cloud consola, para interactuar con tu clúster.

Si tu red está configurada para permitir solicitudes salientes, puedes configurar el agente de conexión para que atraviese NATs, proxies de salida y cortafuegos para establecer una conexión cifrada y duradera entre el servidor de la API de Kubernetes de tu clúster y tu proyecto de Google Cloud . Una vez que se haya habilitado esta conexión, podrás usar tus propias credenciales para volver a iniciar sesión en tus clústeres y acceder a los detalles de sus recursos de Kubernetes. De esta forma, se replica la experiencia de la interfaz de usuario, que, de otro modo, solo está disponible para los clústeres de GKE.

Una vez establecida la conexión, el software Connect Agent puede intercambiar credenciales de cuenta, detalles técnicos y metadatos sobre la infraestructura y las cargas de trabajo conectadas que sean necesarios para gestionarlas con Google Cloud, incluidos los detalles de los recursos, las aplicaciones y el hardware.

Estos datos del servicio de clúster se asocian a tu proyecto y cuenta de Google Cloud . Google usa estos datos para mantener un plano de control entre tu clúster y Google Cloud, para proporcionarte los Google Cloudservicios y las funciones que solicites, como facilitar la asistencia, la facturación y las actualizaciones, así como para medir y mejorar la fiabilidad, la calidad, la capacidad y la funcionalidad de Connect y los Google Cloud servicios disponibles a través de Connect.

Tú sigues controlando qué datos se envían a través de Connect: tu servidor de la API de Kubernetes realiza la autenticación, la autorización y el registro de auditoría de todas las solicitudes a través de Connect. Google y los usuarios pueden acceder a datos o APIs a través de Connect una vez que el administrador del clúster los haya autorizado (por ejemplo, mediante RBAC). El administrador del clúster puede revocar esa autorización.

Conectar roles de gestión de identidades y accesos

Gestión de Identidades y Accesos (IAM) permite que los usuarios, los grupos y las cuentas de servicio accedan a las APIs Google Cloud y realicen tareas en los productosGoogle Cloud .

Debes proporcionar roles de IAM específicos para iniciar el agente de Connect e interactuar con tu clúster mediante la consola de Google Cloud Google Cloud o la CLI de Google Cloud. Estos roles no permiten el acceso directo a los clústeres conectados. Puedes consultar más información sobre cómo iniciar sesión en clústeres desde la consola en el artículo Trabajar con clústeres desde la consola. Google Cloud Google Cloud

Algunos de estos roles te permiten acceder a información sobre los clústeres, como la siguiente:

  • Nombres de clústeres
  • Claves públicas
  • Direcciones IP
  • Proveedores de identidades
  • Versiones de Kubernetes
  • Tamaño de la agrupación
  • Otros metadatos del clúster

Connect usa los siguientes roles de gestión de identidades y accesos:

Nombre de rol Título del rol Descripción Permisos
roles/gkehub.editor Editor de Hub Proporciona acceso de edición a los recursos de GKE Hub.

Permisos de Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permisos de Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer Visor de Hub Proporciona acceso de solo lectura a Hub y a los recursos relacionados.

Permisos de Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permisos de Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect Agente de GKE Connect Permite establecer nuevas conexiones entre clústeres externos y Google. gkehub.endpoints.connect

Uso de recursos y requisitos

Normalmente, el agente de Connect instalado durante el registro usa 500 m de CPU y 200 Mi de memoria. Sin embargo, este uso puede variar en función del número de solicitudes que se hagan al agente por segundo y del tamaño de esas solicitudes. Estos pueden verse afectados por varios factores, como el tamaño del clúster, el número de usuarios que acceden al clúster a través de la Google Cloud consola (cuantos más usuarios o cargas de trabajo haya, más solicitudes se enviarán) y el número de funciones habilitadas para flotas en el clúster.