Fleet memungkinkan Anda mengelola fitur perusahaan dan fitur lain yang kompatibel dengan fleet di beberapa cluster secara bersamaan. Dengan demikian, Anda dapat, misalnya, menerapkan serangkaian kebijakan umum atau membuat mesh layanan tunggal di seluruh fleet cluster Anda. Halaman ini memberikan ringkasan tentang cara mengelola fitur untuk fleet Anda. Untuk informasi selengkapnya tentang cara mengonfigurasi dan menggunakan setiap fitur, lihat dokumentasinya.
Jika telah mengaktifkan Google Kubernetes Engine, Anda dapat mengelola fitur di konsol Google Cloud . Semua pengguna fleet dapat mengelola fitur menggunakan command line.
Beberapa fitur memungkinkan Anda membuat konfigurasi fitur default tingkat fleet untuk cluster fleet. Misalnya, Anda dapat memastikan bahwa setiap cluster yang Anda buat di armada Anda telah menginstal dan mengonfigurasi Pengontrol Kebijakan.
Anda dapat mempelajari lebih lanjut cara kerja pengelolaan fitur tingkat fleet di cluster Anda "di balik layar" di bagian Otorisasi fitur.
Fitur tingkat fleet
Anda dapat mengelola fitur berikut di tingkat fleet:
- Cloud Service Mesh Terkelola
- Postur keamanan
- Config Sync
- Pengontrol Kebijakan
- GKE Identity Service
- Multi Cluster Ingress
- Multi-cluster Services (khusus cluster GKE)
- Validasi berkelanjutan untuk Otorisasi Biner
Daftar ini tidak mencakup semua fitur yang menggunakan atau memerlukan armada. Misalnya, Workload Identity Federation fleet mengandalkan cluster yang menjadi anggota fleet, tetapi tidak memerlukan konfigurasi di tingkat fleet, dan Cloud Service Mesh memerlukan keanggotaan fleet untuk semua opsi penyiapan dan bidang kontrol.
Anda dapat mengetahui informasi selengkapnya tentang fitur yang tersedia di lingkungan tertentu di halaman Opsi deployment.
Menyiapkan fitur tingkat fleet
Bagian berikut menjelaskan cara mengaktifkan dan mengonfigurasi fitur tingkat armada.
Untuk menggunakan fitur tingkat armada, dalam sebagian besar kasus, Anda mengaktifkan fitur untuk armada dan mengonfigurasinya untuk anggota armada. Beberapa konfigurasi (atau penyiapan tambahan lainnya) umumnya diperlukan untuk benar-benar menggunakan fitur dengan cluster dan workload Anda.
Anda dapat membuat konfigurasi cluster default fleet untuk beberapa fitur, yang berarti bahwa cluster baru yang Anda buat di fleet akan dibuat dengan setelan yang telah Anda tentukan untuk fitur tersebut yang sudah dikonfigurasi.
Mengaktifkan fitur dengan setelan default tingkat fleet
Anda dapat membuat setelan default tingkat fleet untuk cluster GKE Anda untuk beberapa fitur. Setelah membuat setelan ini, semua cluster GKE yang Anda daftarkan selama pembuatan cluster akan otomatis dikonfigurasi dengan konfigurasi tingkat fleet Anda. Jadi, misalnya, jika Anda menyiapkan default untuk Pengontrol Kebijakan, setiap cluster baru yang Anda buat di fleet akan menginstal Pengontrol Kebijakan versi yang Anda tentukan, dengan paket kebijakan dan setelan lainnya yang Anda tentukan. Setelan default fleet tidak otomatis diterapkan ke cluster anggota fleet yang sudah ada, meskipun Anda dapat menyinkronkan cluster yang sudah ada ke setelan default dengan menggunakan Google Cloud konsol.
Proses umum untuk mengaktifkan fitur dengan default tingkat armada adalah sebagai berikut:
Konsol
Di project host fleet Anda, buka halaman Feature Manager:
Fitur yang mendukung konfigurasi default tingkat fleet menggunakan konsol Google Cloud tercantum di bagian Pengelolaan Fitur Tingkat Fleet.
Untuk fitur yang Anda pilih, klik Konfigurasi dan ikuti petunjuk untuk mengaktifkan dan mengonfigurasi default untuk fitur tersebut.
Opsional: Pilih dan sinkronkan cluster yang ada di fleet Anda ke setelan baru Anda.
gcloud
- Buat file YAML yang menentukan default fleet yang Anda pilih untuk fitur tersebut.
Jalankan perintah
enableuntuk fitur tersebut, dengan meneruskan file konfigurasi Anda. Setiap fitur tingkat armada memiliki perintahenable-nya sendiri. Misalnya, untuk mengaktifkan Cloud Service Mesh bagi armada Anda dengan konfigurasi default yang ditentukan dalammesh.yaml, jalankan perintah berikut di project host armada Anda:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
Atau, untuk beberapa fitur, Anda dapat menentukan default armada menggunakan parameter ke perintah fleet create atau fleet update. Lihat panduan untuk fitur yang Anda pilih untuk mengetahui detail selengkapnya.
Terraform
Tentukan resource google_gke_hub_feature dengan blok fleet_default_member_config yang menentukan default fleet yang Anda pilih. Untuk mengetahui detail dan fitur armada yang didukung, lihat dokumentasi Terraform.
Tidak semua fitur mendukung konfigurasi default armada menggunakan semua opsi ini. Untuk mengetahui petunjuk mendetail tentang cara menyiapkan default armada untuk setiap fitur yang didukung, lihat dokumentasi berikut:
- Cloud Service Mesh
- Config Sync
- Pengontrol Kebijakan
- Postur keamanan
- GKE Identity Service (khusus command line)
- Validasi berkelanjutan untuk Otorisasi Biner (pratinjau, hanya command line)
Mengaktifkan dan mengonfigurasi fitur armada di setiap cluster
Sebagai alternatif untuk konfigurasi default fleet, Anda dapat memilih untuk mengonfigurasi fitur fleet secara terpisah di setiap cluster. Opsi ini mungkin merupakan pilihan yang baik jika:
- Anda ingin mengonfigurasi cluster yang ada untuk menggunakan fitur.
- Anda ingin menggunakan layanan yang konfigurasi default armada tidak tersedia, atau tidak tersedia menggunakan alat yang Anda pilih.
Mengaktifkan fitur
Perhatikan bahwa langkah ini tidak diperlukan untuk semua fitur. Lihat panduan untuk fitur yang Anda pilih untuk mengetahui detail selengkapnya.
Konsol
Anda dapat mengaktifkan fitur dari halaman Pengelola Fitur di konsol Google Cloud .
Untuk mengaktifkan fitur bagi fleet Anda:
Di project host fleet Anda, buka halaman Feature Manager:
Fitur yang dapat diaktifkan tetapi tidak dikonfigurasi dari halaman ini tercantum di bagian Kelola fitur siap perusahaan lainnya.
Klik Aktifkan di panel untuk fitur yang ingin Anda aktifkan.
Klik tombol Aktifkan... di panel detail yang ditampilkan.
gcloud
Setiap fitur tingkat armada memiliki perintah enable-nya sendiri. Misalnya, untuk mengaktifkan GKE Identity Service bagi fleet Anda, jalankan perintah berikut di project host fleet Anda:
gcloud container fleet identity-service enable
Lihat dokumentasi referensi Google Cloud SDK (dan versi beta serta alfa yang setara) untuk mengetahui daftar lengkap perintah, atau kumpulan dokumentasi fitur individual untuk mengetahui detail selengkapnya.
Untuk mempelajari cara memeriksa apakah fitur telah diaktifkan dan melihat status fitur lainnya, lihat Melihat status fitur fleet.
Mengonfigurasi setiap cluster
Langkah-langkah konfigurasi yang Anda ikuti bergantung pada fiturnya. Lihat panduan berikut untuk mengetahui informasi selengkapnya:
- Cloud Service Mesh
- Postur keamanan:
- Config Sync
- Pengontrol Kebijakan
- GKE Identity Service
- Multi Cluster Ingress
Melihat status fitur fleet
Cara termudah untuk melihat status fitur perangkat adalah dengan menggunakan dasbor Pengelola Fitur di konsol Google Cloud .
Untuk fitur yang didukung, halaman ini menampilkan jumlah cluster fleet Anda yang memiliki status berikut:
- Mengaktifkan fitur ini
- Mengaktifkan fitur ini dengan berhasil
- Memiliki peringatan untuk fitur ini
- Mengalami error untuk fitur ini
Anda juga dapat melihat apakah setelan default fleet telah dikonfigurasi untuk fitur tersebut, dan berapa banyak cluster anggota fleet yang memiliki setelan ini. Untuk fitur yang diaktifkan, Anda dapat mengklik halaman detail yang mencantumkan cluster yang menggunakan fitur tersebut, dan, jika dikonfigurasi, memungkinkan Anda memilih dan menyinkronkan cluster ke setelan default armada.
Untuk fitur yang tidak dapat dikonfigurasi menggunakan halaman ini (yang tercantum di bagian Kelola fitur siap perusahaan lainnya), Anda dapat melihat apakah fitur telah diaktifkan untuk armada Anda, dan melihat panel detail yang menunjukkan jumlah cluster yang telah menginstal fitur tersebut dan informasi relevan lainnya.
Melihat status fitur menggunakan gcloud
gcloud
Jalankan perintah berikut untuk mencantumkan semua fitur yang diaktifkan:
gcloud container fleet features list
Menonaktifkan fitur tingkat fleet
Untuk menonaktifkan fitur di tingkat fleet, lakukan langkah berikut di project host fleet Anda.
Konsol
Hanya fitur armada yang tercantum di bagian Kelola fitur siap perusahaan lainnya yang dapat dinonaktifkan dari konsol Google Cloud .
Di project host fleet Anda, buka halaman Feature Manager:
Klik Detail di panel untuk fitur yang ingin Anda nonaktifkan.
Klik tombol Nonaktifkan... di panel detail yang ditampilkan.
gcloud
Setiap fitur tingkat armada memiliki perintah disable-nya sendiri. Misalnya, untuk menonaktifkan Cloud Service Mesh untuk armada Anda, jalankan perintah berikut di project host armada Anda:
gcloud container fleet mesh disable
Lihat dokumentasi referensi Google Cloud SDK (dan versi beta serta alfa yang setara) untuk mengetahui daftar lengkap perintah, atau kumpulan dokumentasi fitur individual untuk mengetahui detail selengkapnya.
Untuk mengetahui perilaku yang diharapkan setelah Anda menonaktifkan fitur untuk armada, lihat dokumentasi fitur yang relevan. Dalam banyak kasus, konfigurasi yang relevan masih ada di cluster Anda, tetapi Anda tidak lagi dapat mengelola fitur secara terpusat menggunakan perintah fleet atau konsol Google Cloud .
Otorisasi fitur
Untuk mengelola fitur di tingkat armada, fitur tersebut harus diberi otorisasi melalui kontrol akses berbasis peran untuk menjalankan fungsinya di cluster. Google Cloud menggunakan layanan yang disebut Pengotorisasi Fitur yang secara otomatis menetapkan dan memperbarui izin untuk fitur yang diaktifkan di armada, sehingga Anda tidak perlu menetapkan izin fitur secara manual di setiap cluster, terutama saat Google merilis update fitur.
Saat Anda mendaftarkan cluster,
manifes yang diterapkan ke cluster berisi
ClusterRoleBinding
yang memberikan peran cluster-admin ke Feature Authorizer di cluster,
dan peran tersebut dilampirkan ke akun layanan bernama
service-project-number@gcp-sa-gkehub..
Saat Anda menonaktifkan fitur yang mendukung armada di project, Pengotorisasi Fitur akan menghapus
ClusterRole dan ClusterRoleBinding yang sesuai untuk fitur tersebut, sehingga menghilangkan
kemampuan fitur untuk beroperasi di cluster.
Melihat Pemberi Otorisasi Fitur di log audit
Untuk melihat aktivitas Pemberi Otorisasi Fitur di log audit GKE:
Buka Logs Explorer di konsol Google Cloud .
Jalankan kueri lanjutan berikut:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub."
Ganti kode berikut:
CLUSTER_NAME: nama cluster yang lognya ingin Anda lihat.CLUSTER_LOCATION: lokasi Google Cloud tempat cluster dibuat.PROJECT_NUMBER: Google Cloud nomor project untuk project yang memiliki cluster.
Untuk cluster non-GKE, cari tahu tempat log audit Kubernetes disimpan, lalu jalankan kueri serupa.