Mengelola fitur tingkat fleet

Fleet memungkinkan Anda mengelola fitur perusahaan dan fitur lain yang diaktifkan fleet di beberapa cluster secara bersamaan. Dengan demikian, Anda dapat, misalnya, menerapkan sekumpulan kebijakan umum atau membuat mesh satu layanan di seluruh fleet cluster. Halaman ini memberikan ringkasan cara mengelola fitur untuk fleet Anda. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan menggunakan masing-masing fitur, lihat dokumentasinya.

Jika telah mengaktifkan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengelola fitur di Konsol Google Cloud. Semua pengguna fleet dapat mengelola fitur menggunakan command line.

Beberapa fitur memungkinkan Anda membuat konfigurasi fitur default tingkat fleet untuk cluster fleet. Misalnya, Anda dapat memastikan bahwa setiap cluster yang Anda buat di fleet telah menginstal dan dikonfigurasi Pengontrol Kebijakan. Konfigurasi default level fleet hanya tersedia bagi pengguna yang telah mengaktifkan GKE Enterprise.

Anda dapat mempelajari lebih lanjut cara kerja pengelolaan fitur tingkat fleet pada cluster Anda "di balik layar" di bagian Otorisasi fitur.

Fitur tingkat perangkat

Anda dapat mengelola fitur berikut di tingkat fleet:

Daftar ini tidak mencakup semua fitur yang menggunakan atau memerlukan fleet. Misalnya, fleet Workload Identity Federation mengandalkan cluster yang menjadi anggota fleet, tetapi tidak memerlukan konfigurasi pada level fleet, dan Anthos Service Mesh memerlukan keanggotaan fleet untuk semua bidang kontrol dan opsi penyiapan.

Jika telah mengaktifkan GKE Enterprise, Anda dapat menggunakan semua fitur ini tanpa dikenai biaya tambahan. Jika menggunakan paket standar GKE, Anda dapat membayar dan menggunakan subset fitur ini secara terpisah. Anda dapat mengetahui lebih lanjut fitur apa saja yang tersedia di lingkungannya di halaman Opsi deployment.

Menyiapkan fitur tingkat fleet

Bagian berikut menjelaskan cara mengaktifkan dan mengonfigurasi fitur tingkat fleet.

Untuk menggunakan fitur tingkat fleet, dalam sebagian besar kasus, Anda perlu enable fitur untuk fleet Anda dan enable untuk anggota fleet Anda. Beberapa konfigurasi (atau penyiapan tambahan lainnya) umumnya diperlukan agar benar-benar menggunakan fitur tersebut dengan cluster dan workload Anda.

Jika telah mengaktifkan GKE Enterprise, Anda dapat membuat konfigurasi cluster default untuk beberapa fitur. Artinya, setiap cluster baru yang Anda buat di fleet Anda akan dibuat dengan setelan yang Anda tentukan untuk fitur tersebut yang telah dikonfigurasi. Untuk fitur lainnya, atau jika tidak menggunakan tingkat perusahaan, Anda harus mengonfigurasi fitur tersebut di setiap cluster individual.

Mengaktifkan fitur dengan setelan default tingkat fleet

Dengan GKE Enterprise, Anda dapat membuat setelan default tingkat fleet untuk cluster GKE Anda untuk beberapa fitur. Setelah setelan ini dibuat, semua cluster GKE yang Anda daftarkan selama pembuatan cluster akan otomatis dikonfigurasi dengan konfigurasi level fleet Anda. Jadi, misalnya, jika Anda menyiapkan setelan default untuk Pengontrol Kebijakan, setiap cluster baru yang Anda buat di fleet akan menginstal versi Pengontrol Kebijakan yang Anda tentukan, dengan paket kebijakan yang Anda tentukan dan setelan lainnya. Setelan default fleet tidak otomatis diterapkan ke cluster anggota fleet yang sudah ada, meskipun Anda dapat menyinkronkan cluster yang ada ke setelan default menggunakan Konsol Google Cloud.

Proses umum untuk mengaktifkan fitur dengan default tingkat fleet adalah sebagai berikut:

Konsol

  1. Di project host fleet Anda, buka halaman Pengelola Fitur:

    Buka Feature Manager

    Fitur yang mendukung konfigurasi default tingkat fleet menggunakan Konsol Google Cloud tercantum dalam Pengelolaan Fitur Tingkat Perangkat.

  2. Untuk fitur yang Anda pilih, klik Konfigurasi dan ikuti petunjuk untuk mengaktifkan dan mengonfigurasi setelan default untuk fitur tersebut.

  3. Opsional: Pilih dan sinkronkan cluster yang ada di fleet Anda ke setelan baru.

gcloud

  1. Membuat file YAML yang menentukan default perangkat pilihan Anda untuk fitur.

  2. Jalankan perintah enable untuk fitur, dengan meneruskan file konfigurasi Anda. Setiap fitur level fleet memiliki perintah enable sendiri. Misalnya, guna mengaktifkan Anthos Service Mesh untuk fleet Anda dengan konfigurasi default yang ditentukan di mesh.yaml, jalankan perintah berikut di project host fleet Anda:

    gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml

Atau, untuk beberapa fitur, Anda dapat menentukan fleet default menggunakan parameter ke perintah fleet create atau fleet update. Lihat panduan untuk fitur pilihan Anda untuk detail selengkapnya.

Terraform

Tentukan resource google_gke_hub_feature dengan blok fleet_default_member_config yang menentukan default fleet yang Anda pilih. Untuk mengetahui detail dan fitur fleet yang didukung, lihat dokumentasi Terraform.

Tidak semua fitur mendukung konfigurasi default fleet dengan menggunakan semua opsi ini. Untuk petunjuk mendetail tentang cara menyiapkan setelan default perangkat untuk setiap fitur yang didukung, lihat dokumentasi berikut:

Mengaktifkan dan mengonfigurasi fitur fleet di masing-masing cluster

Sebagai alternatif untuk konfigurasi default fleet, Anda dapat memilih untuk mengonfigurasi fitur fleet secara terpisah pada masing-masing cluster. Ini mungkin pilihan yang baik jika:

  • Anda tidak mengaktifkan GKE Enterprise.
  • Anda ingin mengonfigurasi cluster yang ada untuk menggunakan fitur tertentu.
  • Anda ingin menggunakan layanan saat konfigurasi default fleet tidak tersedia, atau tidak tersedia menggunakan alat pilihan Anda.

Aktifkan fitur

Perhatikan bahwa langkah ini tidak diperlukan untuk semua fitur. Lihat panduan untuk fitur pilihan Anda untuk detail selengkapnya.

Konsol

Jika telah mengaktifkan GKE Enterprise, Anda dapat mengaktifkan fitur dari halaman Feature Manager di Konsol Google Cloud.

Untuk mengaktifkan fitur bagi perangkat Anda:

  1. Di project host fleet Anda, buka halaman Pengelola Fitur:

    Buka Feature Manager

    Fitur yang dapat diaktifkan tetapi tidak dikonfigurasi dari halaman ini tercantum di bagian Mengelola fitur lainnya yang siap digunakan perusahaan.

  2. Klik Aktifkan di panel untuk fitur yang ingin Anda aktifkan.

  3. Klik tombol Aktifkan... di panel detail yang ditampilkan.

gcloud

Setiap fitur level fleet memiliki perintah enable sendiri. Misalnya, untuk mengaktifkan GKE Identity Service bagi fleet Anda, jalankan perintah berikut di project fleet host Anda:

gcloud container fleet identity-service enable

Lihat dokumentasi referensi Google Cloud SDK (serta beta dan alfa yang setara) untuk mengetahui daftar lengkap perintah, atau set dokumentasi fitur individual untuk mengetahui detail lebih lanjut.

Untuk mempelajari cara memeriksa apakah suatu fitur telah diaktifkan dan melihat status fitur lainnya, lihat Melihat status fitur perangkat.

Mengonfigurasi cluster individual

Langkah-langkah konfigurasi yang Anda ikuti bergantung pada fiturnya. Lihat panduan berikut untuk mengetahui informasi selengkapnya:

Lihat status fitur perangkat

Jika Anda telah mengaktifkan GKE Enterprise, cara termudah untuk melihat status fitur fleet adalah dengan menggunakan dasbor Feature Manager di Konsol Google Cloud.

Buka Feature Manager

Untuk fitur yang didukung, halaman ini menampilkan jumlah cluster fleet Anda yang memiliki status berikut:

  • Mengaktifkan fitur ini
  • Berhasil mengaktifkan fitur ini
  • Dapatkan peringatan untuk fitur ini
  • Terjadi error untuk fitur ini

Anda juga dapat melihat apakah setelan default fleet telah dikonfigurasi untuk fitur tersebut, dan jumlah cluster anggota fleet yang memiliki setelan ini. Untuk fitur yang diaktifkan, Anda dapat mengklik halaman detail yang mencantumkan cluster menggunakan fitur tersebut, dan, jika dikonfigurasi, memungkinkan Anda memilih dan menyinkronkan cluster ke setelan default fleet Anda.

Untuk fitur yang tidak dapat dikonfigurasi menggunakan halaman ini (tercantum di bagian Mengelola fitur siap pakai perusahaan lainnya), Anda dapat melihat apakah fitur telah diaktifkan untuk perangkat Anda, dan melihat panel detail yang menunjukkan jumlah cluster yang telah menginstal fitur tersebut serta informasi relevan lainnya.

Melihat status fitur menggunakan gcloud

gcloud

Jalankan perintah berikut untuk menampilkan semua fitur yang diaktifkan:

gcloud container fleet features list

Menonaktifkan fitur tingkat fleet

Untuk menonaktifkan fitur di tingkat fleet, lakukan hal berikut dalam project host fleet Anda.

Konsol

Hanya fitur perangkat yang tercantum dalam Kelola fitur siap pakai perusahaan lainnya yang dapat dinonaktifkan dari Konsol Google Cloud.

  1. Di project host fleet Anda, buka halaman Pengelola Fitur:

    Buka Feature Manager

  2. Klik Detail di panel untuk fitur yang ingin Anda nonaktifkan.

  3. Klik tombol Disable... di panel detail yang ditampilkan.

gcloud

Setiap fitur level fleet memiliki perintah disable sendiri. Misalnya, guna menonaktifkan Anthos Service Mesh untuk fleet Anda, jalankan perintah berikut di project host fleet Anda:

gcloud container fleet mesh disable

Lihat dokumentasi referensi Google Cloud SDK (serta beta dan alfa yang setara) untuk mengetahui daftar lengkap perintah, atau set dokumentasi fitur individual untuk mengetahui detail lebih lanjut.

Untuk perilaku yang diharapkan setelah Anda menonaktifkan fitur untuk fleet Anda, lihat dokumentasi fitur yang relevan. Dalam banyak kasus, konfigurasi yang relevan masih ada di cluster Anda, tetapi Anda tidak lagi dapat mengelola fitur secara terpusat menggunakan perintah fleet atau Konsol Google Cloud.

Otorisasi fitur

Agar dapat mengelola fitur di tingkat fleet, fitur tersebut harus diizinkan melalui kontrol akses berbasis peran untuk menjalankan fungsinya pada cluster. Google Cloud menggunakan layanan bernama Pemberi Otorisasi Fitur yang secara otomatis menetapkan dan memperbarui izin untuk fitur yang diaktifkan fleet, sehingga Anda tidak perlu menetapkan izin fitur secara manual pada setiap cluster, terutama saat Google merilis update fitur.

Saat Anda mendaftarkan cluster, manifes yang diterapkan ke cluster berisi ClusterRoleBinding yang memberikan peran cluster-admin di cluster kepada Pemberi Otorisasi Fitur, dan peran tersebut dikaitkan ke akun layanan yang bernama service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.

Saat Anda menonaktifkan fitur berkemampuan fleet di project Anda, Pemberi Otorisasi Fitur akan menghapus ClusterRole dan ClusterRoleBinding yang sesuai untuk fitur tersebut, sehingga kemampuan fitur untuk beroperasi di cluster akan dihapus.

Melihat Pemberi Otorisasi Fitur di log audit

Untuk melihat aktivitas Pemberi Otorisasi Fitur di log audit GKE:

  1. Buka Logs Explorer di Konsol Google Cloud.

    Buka halaman Logs

  2. Jalankan kueri lanjutan berikut ini:

    resource.type="k8s_cluster"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.location="CLUSTER_LOCATION"
protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa"
protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"

    Ganti kode berikut:

    • CLUSTER_NAME: nama cluster yang lognya ingin Anda lihat.
    • CLUSTER_LOCATION: lokasi Google Cloud tempat cluster dibuat.
    • PROJECT_NUMBER: nomor project Google Cloud untuk project yang memiliki cluster.

Untuk cluster non-GKE, cari tahu tempat log audit Kubernetes disimpan, lalu jalankan kueri serupa.