Mit Flotten können Sie Unternehmens- und andere flottenfähige Features über mehrere Cluster gleichzeitig verwalten. Auf diese Weise können Sie beispielsweise einen gemeinsamen Satz von Richtlinien anwenden oder ein einzelnes Service Mesh auf Ihrem gesamten Clusterpool erstellen. Auf dieser Seite erhalten Sie einen Überblick darüber, wie Sie Features für Ihren Gerätepool verwalten können. Weitere Informationen zum Konfigurieren und Verwenden einzelner Funktionen finden Sie in der jeweiligen Dokumentation.
Wenn Sie die Google Kubernetes Engine (GKE) Enterprise-Version aktiviert haben, können Sie Features in der Google Cloud Console verwalten. Alle Nutzer der Flotte können Features über die Befehlszeile verwalten.
Mit einigen Features können Sie eine Standardkonfiguration der Flottenfunktion für Ihre Flottencluster erstellen. Sie können beispielsweise dafür sorgen, dass für jeden Cluster, den Sie in Ihrer Flotte erstellen, Policy Controller installiert und konfiguriert ist. Die Standardkonfiguration auf Flottenebene ist nur für Nutzer verfügbar, die GKE Enterprise aktiviert haben.
Weitere Informationen über die Funktionsweise der Funktionsverwaltung auf Flottenebene in Ihren Clustern finden Sie unter dem Abschnitt Funktionsautorisierung.
Funktionen auf Flottenebene
Sie können die folgenden Funktionen auf Flottenebene verwalten:
- Verwaltetes Anthos Service Mesh
- Sicherheitsstatus
- Config Sync
- Policy Controller
- GKE Identity Service
- Multi-Cluster-Ingress
- Multi-Cluster-Dienste (nur GKE-Cluster)
- Kontinuierliche Validierung für die Binärautorisierung
Diese Liste enthält nicht alle Features, die Flotten verwenden oder erfordern. Beispiel: Die Workload Identity der Flotte basiert auf Clustern, die Mitglieder einer Flotte sind, aber keine Konfiguration auf Flottenebene erfordert. Anthos Service Mesh erfordert eine Flottenmitgliedschaft für alle Steuerungsebenen- und Einrichtungsoptionen.
Wenn Sie GKE Enterprise aktiviert haben, können Sie alle diese Features verwenden, ohne dass zusätzliche Kosten anfallen. Wenn Sie die GKE-Standardstufe verwenden, können Sie einen Teil dieser Features separat bezahlen und nutzen. Auf der Seite Deployment-Optionen können Sie sehen, welche Features in welchen Umgebungen verfügbar sind.
Features auf Flottenebene einrichten
In den folgenden Abschnitten wird beschrieben, wie Sie Features auf Flottenebene aktivieren und konfigurieren können.
Wenn Sie ein Feature auf Flottenebene verwenden möchten, aktivieren Sie das Feature in den meisten Fällen für Ihre Flotte und aktivieren Sie es für Ihre Flottenmitglieder. Einige Konfigurationen (oder andere zusätzliche Konfigurationen) sind im Allgemeinen erforderlich, um das Feature tatsächlich mit Ihren Clustern und Arbeitslasten zu verwenden.
Wenn Sie GKE Enterprise aktiviert haben, können Sie für einige Features Flotten-Standardclusterkonfigurationen erstellen. Dies bedeutet, dass alle neuen Cluster, die Sie in Ihrer Flotte erstellen, mit den angegebenen Einstellungen für dieses Feature erstellt werden, die bereits konfiguriert sind “ Für andere Features oder wenn Sie nicht die Enterprise-Stufe verwenden, müssen Sie das Feature für jeden einzelnen Cluster konfigurieren.
Features mit Standardeinstellungen auf Flottenebene aktivieren
Mit GKE Enterprise können Sie für einige Features Standardeinstellungen auf Flottenebene für Ihre GKE-Cluster erstellen. Nach dem Erstellen dieser Einstellungen wird jeder GKE-Cluster, den Sie während der Clustererstellung registrieren, automatisch mit Ihren Konfigurationen auf Flottenebene konfiguriert. Wenn Sie beispielsweise Standardeinstellungen für Policy Controller einrichten, ist auf jedem neuen Cluster, den Sie in Ihrer Flotte erstellen, die angegebene Version von Policy Controller mit den angegebenen Richtlinien-Bundles und anderen Einstellungen installiert. Standardeinstellungen der Flotte werden nicht automatisch auf vorhandene Flottenmitgliedscluster angewendet. Sie können jedoch vorhandene Cluster über die Google Cloud Console mit Ihren Standardeinstellungen synchronisieren.
So aktivieren Sie Features mit Standardeinstellungen auf Flottenebene:
Console
Rufen Sie in Ihrem Flotten-Hostprojekt die Seite Feature Manager auf:
Die Features, die die Konfiguration von Standardeinstellungen auf Flottenebene mithilfe der Google Cloud Console unterstützen, sind unter Featureverwaltung auf Flottenebene aufgeführt.
Klicken Sie für das ausgewählte Feature auf Konfigurieren und folgen Sie der Anleitung, um die Standardeinstellungen für das Feature zu aktivieren und zu konfigurieren.
Optional: Wählen Sie vorhandene Cluster in Ihrer Flotte aus und synchronisieren Sie sie mit den neuen Einstellungen.
gcloud
- Erstellen Sie eine YAML-Datei, in der die ausgewählten Flotten-Standardeinstellungen für das Feature angegeben sind.
Führen Sie den Befehl
enablefür das Feature aus und übergeben Sie ihn an die Konfigurationsdatei. Jedes Feature auf Flottenebene hat einen eigenenenable-Befehl. Führen Sie beispielsweise den folgenden Befehl in Ihrem Flotten-Hostprojekt aus, um Anthos Service Mesh für Ihre Flotte mit der inmesh.yamlangegebenen Standardkonfiguration zu aktivieren:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
Alternativ können Sie für einige Features Flotten-Standardeinstellungen mithilfe von Parametern für den Befehl fleet create oder fleet update angeben. Weitere Informationen finden Sie in der Anleitung zum ausgewählten Feature.
Terraform
Definieren Sie eine google_gke_hub_feature-Ressource mit einem fleet_default_member_config-Block, der die von Ihnen ausgewählten Standardeinstellungen für die Flotte angibt. Weitere Informationen und unterstützte Funktionen der Flotte finden Sie in der Terraform-Dokumentation.
Nicht alle Features unterstützen die Standardkonfiguration der Flotte mit allen diesen Optionen. Eine ausführliche Anleitung zum Einrichten von Flotten-Standardeinstellungen für jedes unterstützte Feature finden Sie in der folgenden Dokumentation:
- Anthos Service Mesh
- Config Sync
- Policy Controller
- Sicherheitsstatus
- GKE Identity Service (nur Befehlszeile)
- Kontinuierliche Validierung für die Binärautorisierung (Vorschau, nur Befehlszeile)
Flottenfeatures für einzelne Cluster aktivieren und konfigurieren
Als Alternative zur Standardkonfiguration der Flotte können Sie Flottenfeatures separat für einzelne Cluster konfigurieren. Dies kann in folgenden Fällen eine gute Option sein:
- Sie haben GKE Enterprise nicht aktiviert.
- Sie möchten einen vorhandenen Cluster für die Verwendung eines Features konfigurieren.
- Sie möchten Dienste verwenden, bei denen die Standardkonfiguration für Flotten nicht oder nicht mit dem ausgewählten Tool verfügbar ist.
Features aktivieren
Beachten Sie, dass dieser Schritt nicht für alle Funktionen erforderlich ist. Weitere Informationen finden Sie in der Anleitung zum ausgewählten Feature.
Console
Wenn Sie GKE Enterprise aktiviert haben, können Sie Features auf der Seite Feature Manager in der Google Cloud Console aktivieren.
So aktivieren Sie ein Feature für Ihre Flotte:
Rufen Sie in Ihrem Flotten-Hostprojekt die Seite Feature Manager auf:
Funktionen, die auf dieser Seite aktiviert, aber nicht konfiguriert werden können, sind unter Andere für Unternehmen geeignete Funktionen verwalten aufgeführt.
Klicken Sie im Bereich für das Feature, das Sie aktivieren möchten, auf AKTIVIEREN.
Klicken Sie im angezeigten Detailbereich auf die Schaltfläche Aktivieren....
gcloud
Jedes Feature auf Flottenebene hat einen eigenen enable-Befehl. Führen Sie beispielsweise den folgenden Befehl in Ihrem Flotten-Hostprojekt aus, um GKE Identity Service für Ihre Flotte zu aktivieren:
gcloud container fleet identity-service enable
Eine vollständige Liste der Befehle finden Sie in der Referenzdokumentation zum Google Cloud SDK (und den entsprechenden Beta- und Alpha-Versionen). Weitere Einzelheiten finden Sie in den Dokumentationen der einzelnen Funktionen.
Informationen zum Prüfen, ob ein Feature bereits aktiviert wurde, und wie Sie sich den anderen Featurestatus ansehen, finden Sie unter Status des Flotten-Features aufrufen.
Einzelne Cluster konfigurieren
Die Konfigurationsschritte, die Sie als Nächstes ausführen, hängen vom Feature ab. Weitere Informationen finden Sie in den folgenden Leitfäden:
- Anthos Service Mesh
- Sicherheitsstatus:
- Config Sync
- Policy Controller
- GKE Identity Service
- Multi-Cluster-Ingress
Status der Flottenfunktion anzeigen
Wenn Sie GKE Enterprise aktiviert haben, können Sie den Status der Flotten-Features am einfachsten über das Dashboard Feature Manager in der Google Cloud Console abrufen.
Für unterstützte Features wird auf dieser Seite angezeigt, wie viele Ihrer Flottencluster den folgenden Status haben:
- Dieses Feature ist aktiviert
- Dieses Feature wurde erfolgreich aktiviert
- Warnung für diese Funktion
- Für dieses Feature ist ein Fehler aufgetreten
Sie können auch sehen, ob für das Feature Standardeinstellungen für Flotten konfiguriert wurden und wie viele Mitgliedercluster der Flotte diese Einstellungen haben. Bei aktivierten Features können Sie sich zu einer Detailseite durchklicken, auf der die Cluster aufgeführt sind, auf der das Feature aufgeführt ist. Falls konfiguriert, können Sie Cluster mit den Standardeinstellungen der Flotte auswählen und synchronisieren.
Bei Features, die nicht über diese Seite konfiguriert werden können (die unter Andere für Unternehmen geeignete Funktionen verwalten aufgeführt sind) können Sie sehen, ob das Feature für Ihren Gerätepool aktiviert wurde. Außerdem sehen Sie einen Detailbereich, der zeigt, auf wie vielen Clustern das Feature installiert ist und andere relevante Informationen.
Featurestatus mit gcloud aufrufen
gcloud
Führen Sie den folgenden Befehl aus, um alle aktivierten Features aufzulisten:
gcloud container fleet features list
Feature auf Flottenebene deaktivieren
So deaktivieren Sie ein Feature auf Flottenebene in Ihrem Flotten-Hostprojekt:
Console
Nur die Flotten-Features, die unter Andere für Unternehmen geeignete Features verwalten aufgeführt sind, können über die Google Cloud Console deaktiviert werden.
Rufen Sie in Ihrem Flotten-Hostprojekt die Seite Feature Manager auf:
Klicken Sie im Bereich für das Feature, das Sie deaktivieren möchten, auf Details.
Klicken Sie im angezeigten Detailbereich auf die Schaltfläche Deaktivieren....
gcloud
Jedes Feature auf Flottenebene hat einen eigenen disable-Befehl. Führen Sie beispielsweise den folgenden Befehl in Ihrem Flotten-Host-Projekt aus, um Anthos Service Mesh für Ihre Flotte zu deaktivieren:
gcloud container fleet mesh disable
Eine vollständige Liste der Befehle finden Sie in der Referenzdokumentation zum Google Cloud SDK (und den entsprechenden Beta- und Alpha-Versionen). Weitere Einzelheiten finden Sie in den Dokumentationen der einzelnen Funktionen.
Das erwartete Verhalten nach dem Deaktivieren eines Features für Ihre Flotte finden Sie in der entsprechenden Feature-Dokumentation. In vielen Fällen ist die relevante Konfiguration auf Ihrem Cluster noch vorhanden, aber Sie können die Funktion nicht mehr zentral über Flottenbefehle oder die Google Cloud Console verwalten.
Autorisierung von Features
Um Funktionen auf Flottenebene zu verwalten, müssen sie durch eine rollenbasierte Zugriffssteuerung autorisiert werden, um ihre Funktionen auf Clustern auszuführen. Google Cloud verwendet einen Dienst namens Feature-Autorisierer, der automatisch die Berechtigungen für flottenaktivierte Funktionen festlegt und aktualisiert. So müssen Sie die Berechtigungen für die Funktionen nicht für jeden Cluster manuell festlegen, insbesondere wenn Google Aktualisierungen der Funktionen veröffentlicht.
Wenn SieCluster registrieren enthält das auf den Cluster angewendete Manifest einClusterRoleBinding, mit der dem Feature Authorizer einecluster-admin-Rolle im Cluster zugewiesen wird. Diese Rolle ist mit einem Dienstkonto namens service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com verbunden, um die Option zu aktivieren.
Wenn Sie ein Feature mit flottenfähiger Funktion in Ihrem Projekt deaktivieren, löscht die Autorisierer die entsprechenden ClusterRole und ClusterRoleBinding für das Feature, wodurch die Funktion für den Cluster nicht mehr funktioniert.
Feature-Autorisierer in Audit-Logs anzeigen
So rufen Sie die Funktion "Autorisierter Nutzer" in den Audit-Logs von GKE auf:
Öffnen Sie den Log-Explorer in der Google Cloud Console.
Führen Sie die folgende erweiterte Abfrage aus:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Ersetzen Sie Folgendes:
CLUSTER_NAME: Der Name des Clusters, für den Sie die Logs aufrufen möchten.CLUSTER_LOCATION: Der Google Cloud-Standort, an dem der Cluster erstellt wurde.PROJECT_NUMBER: Die Google Cloud-Projektnummer des Projekts, zu dem der Cluster gehört.
Ermitteln Sie für Nicht-GKE-Cluster, wo die Kubernetes-Audit-Logs gespeichert sind, und führen Sie eine ähnliche Abfrage aus.