Panoramica dell'agente Connect

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Quando registri un cluster all'esterno di Google Cloud nel tuo parco risorse, Google Cloud utilizza un deployment chiamato Agente Connect per stabilire una connessione tra il cluster e il progetto Google Cloud e per gestire le richieste Kubernetes.

Ciò consente l'accesso al cluster e alle funzionalità di gestione dei carichi di lavoro in Google Cloud, tra cui un'interfaccia utente unificata, Google Cloud Console, per interagire con il tuo cluster.

Se la tua rete è configurata per consentire le richieste in uscita, puoi configurare l'agente Connect in modo da attraversare NAT, proxy in uscita e firewall per stabilire una connessione criptata di lunga durata tra il server API Kubernetes del cluster e il progetto Google Cloud. Una volta attivata questa connessione, puoi utilizzare le tue credenziali per accedere di nuovo ai cluster e accedere ai dettagli delle rispettive risorse Kubernetes. Questo replica effettivamente l'esperienza UI, che è altrimenti disponibile solo per i cluster GKE.

Dopo aver stabilito la connessione, il software Connect Agent può scambiare le credenziali dell'account, i dettagli tecnici e i metadati sull'infrastruttura connessa e i carichi di lavoro necessari per gestirli con Google Cloud, inclusi i dettagli di risorse, applicazioni e hardware.

Questi dati di servizio del cluster sono associati al tuo progetto e al tuo account Google Cloud. Google utilizza questi dati per gestire un piano di controllo tra il tuo cluster e Google Cloud, per fornirti i servizi e le funzionalità Google Cloud richiesti, tra cui facilitare l'assistenza, la fatturazione, fornire aggiornamenti e misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.

Sei tu a controllare quali dati vengono inviati attraverso Connect: il tuo server API Kubernetes esegue l'autenticazione, l'autorizzazione e l'audit logging per tutte le richieste tramite Connect. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo che sono stati autorizzati dall'amministratore del cluster (ad esempio tramite RBAC); l'amministratore del cluster può revocare tale autorizzazione.

Connetti ruoli IAM

Identity and Access Management (IAM) consente a utenti, gruppi e account di servizio di accedere alle API Google Cloud ed eseguire attività all'interno dei prodotti Google Cloud.

Devi fornire ruoli IAM specifici per avviare l'agente Connect e interagire con il tuo cluster tramite Google Cloud Console o Google Cloud CLI. Questi ruoli non consentono l'accesso diretto ai cluster connessi.

Alcuni di questi ruoli ti consentono di accedere alle informazioni sui cluster, tra cui:

  • Nomi dei cluster
  • Chiavi pubbliche
  • Indirizzi IP
  • Provider di identità
  • Versioni di Kubernetes
  • Dimensione cluster
  • Altri metadati del cluster

Connect utilizza i seguenti ruoli IAM:

Nome ruolo Titolo del ruolo Descrizione Autorizzazioni
roles/gkehub.editor Editor hub Fornisce l'accesso in modifica alle risorse GKE Hub.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet*
roles/gkehub.viewer Visualizzatore Hub Fornisci accesso di sola lettura all'hub e alle risorse correlate.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
roles/gkehub.connect Agente GKE Connect Consente di stabilire nuove connessioni tra cluster esterni e Google. gkehub.endpoints.connect

Accesso utilizzando Connect

Autenticazione

Google Cloud offre diverse opzioni per accedere ai cluster registrati da Google Cloud Console. Le opzioni disponibili dipendono dal modo in cui l'amministratore del cluster ha configurato l'autenticazione:

  1. Se il cluster è stato configurato per l'utilizzo del gateway di connessione, puoi accedere utilizzando la tua identità Google Cloud, proprio come faresti con i cluster GKE su Google Cloud.
  2. Se il cluster è stato configurato per utilizzare Anthos Identity Service con un provider OpenID Connect (OIDC) come ADFS o Okta o un provider LDAP, puoi accedere utilizzando un'identità di tale provider.
  3. Puoi accedere utilizzando un token di connessione. Sono supportati molti tipi di token di connessione, come specificato in Kubernetes Authentication. Il metodo più semplice è creare un account di servizio Kubernetes (KSA) nel cluster e utilizzare il relativo token di connessione per accedere.

Per saperne di più sull'utilizzo di queste opzioni, vedi Accedere ai cluster da Google Cloud Console.

Autorizzazione

I controlli di autorizzazione vengono eseguiti dal server API del cluster rispetto all'identità che utilizzi quando esegui l'autenticazione tramite Google Cloud Console.

Tutti gli account che accedono a un cluster devono avere almeno i seguenti ruoli RBAC di Kubernetes nel cluster:

Questi ruoli forniscono l'accesso di sola lettura a un cluster e i dettagli sui nodi. I ruoli non forniscono l'accesso a tutte le risorse, quindi alcune funzionalità di Google Cloud Console potrebbero non essere disponibili; ad esempio, questi ruoli non consentono l'accesso ai secret di Kubernetes o ai log dei pod.

Agli account possono essere concesse altre autorizzazioni RBAC, ad esempio tramite edit o cluster-admin, per eseguire ulteriori operazioni all'interno del cluster. Per ulteriori informazioni, consulta la documentazione di RBAC.

Controllo

Gli accessi tramite la console Google Cloud sono registrati nei log sul server API del cluster.

Utilizzo delle risorse e requisiti

In genere l'agente Connect installato al momento della registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare a seconda del numero di richieste inviate all'agente al secondo e delle dimensioni delle richieste. Questi possono essere influenzati da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la console Google Cloud (più utenti e/o carichi di lavoro, più richieste) e il numero di funzionalità abilitate per il parco risorse nel cluster.