Quando registri un cluster esterno a Google Cloud nel tuo parco risorse, Google Cloud utilizza un deployment denominato agente di connessione per stabilire una connessione tra il cluster e il progetto Google Cloud e per gestire le richieste Kubernetes. L'agente Connect non è necessario per stabilire una connessione per i cluster GKE in esecuzione su Google Cloud.
Ciò consente di accedere alle funzionalità di gestione dei cluster e dei carichi di lavoro in Google Cloud, inclusa un'interfaccia utente unificata, la console Google Cloud, per interagire con il cluster.
Se la tua rete è configurata in modo da consentire le richieste in uscita, puoi configurare l'agente Connect in modo che attraversi NAT, proxy in uscita e firewall in modo da stabilire una connessione criptata di lunga durata tra il server API Kubernetes del cluster e il progetto Google Cloud. Una volta abilitata questa connessione, puoi utilizzare le tue credenziali per accedere nuovamente ai cluster e accedere ai dettagli delle relative risorse Kubernetes. In questo modo replica efficacemente l'esperienza UI che altrimenti sarebbe disponibile solo per i cluster GKE.
Una volta stabilita la connessione, il software Connect Agent può scambiare le credenziali dell'account, i dettagli tecnici e i metadati sull'infrastruttura connessa e i carichi di lavoro necessari per gestirli con Google Cloud, inclusi i dettagli di risorse, applicazioni e hardware.
Questi dati di servizio del cluster sono associati al tuo progetto e account Google Cloud. Google utilizza questi dati per mantenere un piano di controllo tra il cluster e Google Cloud al fine di fornirti qualsiasi servizio e funzionalità Google Cloud che richiedi, tra cui facilitare l'assistenza, la fatturazione, fornire aggiornamenti, nonché per misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.
Mantieni il controllo di quali dati vengono inviati tramite Connect: il tuo server API Kubernetes esegue autenticazione, autorizzazione e audit logging su tutte le richieste tramite Connect. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo essere stati autorizzati dall'amministratore del cluster (ad esempio, tramite RBAC); l'amministratore del cluster può revocare l'autorizzazione.
Connetti i ruoli IAM
Identity and Access Management (IAM) consente a utenti, gruppi e account di servizio di accedere alle API Google Cloud ed eseguire attività all'interno dei prodotti Google Cloud.
Devi fornire ruoli IAM specifici per avviare l'agente Connect e interagire con il cluster utilizzando la console Google Cloud o Google Cloud CLI. Questi ruoli non consentono l'accesso diretto ai cluster connessi. Per ulteriori informazioni su come accedere ai cluster dalla console Google Cloud, consulta Utilizzo dei cluster dalla console Google Cloud.
Alcuni di questi ruoli ti consentono di accedere alle informazioni sui cluster, tra cui:
- Nomi dei cluster
- Chiavi pubbliche
- Indirizzi IP
- Provider di identità
- Versioni di Kubernetes
- Dimensione cluster
- Altri metadati del cluster
Connect utilizza i seguenti ruoli IAM:
| Nome ruolo | Titolo del ruolo | Descrizione | Autorizzazioni |
|---|---|---|---|
roles/gkehub.editor |
Editor hub | Fornisce l'accesso in modifica alle risorse GKE Hub. |
Autorizzazioni per Google Cloud
Autorizzazioni per Hub
|
roles/gkehub.viewer |
Visualizzatore Hub | Fornisci l'accesso di sola lettura all'hub e alle risorse correlate. |
Autorizzazioni per Google Cloud
Autorizzazioni per Hub
|
roles/gkehub.connect |
Agente GKE Connect | Consente di stabilire nuove connessioni tra cluster esterni e Google. | gkehub.endpoints.connect |
Utilizzo delle risorse e requisiti
In genere l'agente Connect installato al momento della registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare a seconda del numero di richieste inviate all'agente al secondo e delle dimensioni delle richieste. Questi aspetti possono essere influenzati da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la console Google Cloud (più utenti e/o carichi di lavoro, maggiore è il numero di richieste) e il numero di funzionalità abilitate per il parco risorse sul cluster.