Usando as frotas, você consegue gerenciar recursos corporativos e de outras frotas em vários clusters ao mesmo tempo. Isso permite, por exemplo, aplicar um conjunto comum de políticas ou criar uma malha de serviço único na frota de clusters. Esta página fornece uma visão geral de como gerenciar as funcionalidades da sua frota. Para mais informações sobre como configurar e usar recursos individuais, consulte a documentação deles.
Se você tiver ativado o Google Kubernetes Engine (GKE) Enterprise, poderá gerenciar recursos no console do Google Cloud. Todos os usuários da frota podem usar a linha de comando para gerenciar recursos.
Alguns recursos permitem criar uma configuração de recursos padrão no nível da frota para os clusters da frota. Por exemplo, é possível garantir que todos os clusters criados na sua frota tenham o Controlador de Políticas instalado e configurado. A configuração padrão na frota está disponível apenas para usuários que ativaram o GKE Enterprise.
Saiba mais sobre como o gerenciamento de recursos no nível da frota nos clusters funciona nos bastidores na seção Autorização de recursos.
Recursos no nível da frota
Para gerenciar os seguintes recursos no nível da frota:
- Cloud Service Mesh gerenciado
- Postura de segurança
- Config Sync
- Policy Controller
- Serviço de identidade do GKE
- Ingress de vários clusters
- Serviços de vários clusters (somente clusters do GKE)
- Validação contínua para autorização binária
Esta lista não inclui todos os recursos que usam ou exigem frotas. Por exemplo, federação de identidade da carga de trabalho da frota depende dos clusters serem membros de uma frota, mas não precisam ser configurados no nível dela. O Cloud Service Mesh requer associação para todos os planos de controle e opções de configuração.
Se você ativou o GKE Enterprise, pode usar todos esses recursos sem gerar cobranças extras. Se você estiver usando o nível padrão do GKE, poderá pagar e usar um subconjunto desses recursos separadamente. Saiba mais sobre quais recursos estão disponíveis em quais ambientes na página Opções de implantação.
Configurar atributos em nível de frota
As seções a seguir descrevem como ativar e configurar recursos no nível da frota.
Para usar um recurso em nível de frota, na maioria dos casos, você o ativa para sua frota e o configura para os membros da frota. Algumas configurações (ou outras adicionais) geralmente são necessárias para usar o recurso com seus clusters e cargas de trabalho.
Se você tiver ativado o GKE Enterprise, poderá criar configurações de cluster padrão da frota para alguns recursos. Isso significa que todos os novos clusters criados na sua frota serão criados com as configurações especificadas para esse recurso já definidas. Para outros recursos, ou se você não estiver usando o nível Enterprise, configure o recurso em cada cluster individual.
Ativar recursos com padrões no nível da frota
Com o GKE Enterprise, é possível criar configurações padrão no nível da frota para seus clusters do GKE em alguns recursos. Depois de criar essas configurações, qualquer cluster do GKE registrado durante a criação do cluster será definido automaticamente com as configurações no nível da frota. Por exemplo, se você configurar padrões para o Controlador de Políticas, cada novo cluster criado na sua frota terá a versão especificada dele instalada, com os pacotes de políticas e outras configurações especificadas. As configurações padrão da frota não são aplicadas automaticamente aos clusters de membros existentes, mas é possível sincronizar os clusters com as configurações padrão usando o console do Google Cloud.
O processo geral de ativação de recursos com padrões da frota é o seguinte:
Console
No projeto host da frota, acesse a página Gerenciador de recursos:
Acessar o gerenciador de recursos
Os recursos compatíveis com a configuração de padrões da frota usando o console do Google Cloud estão listados em Gerenciamento de atributos no nível da frota.
No recurso escolhido, clique em Configurar e siga as instruções para ativar e configurar os padrões do recurso.
Opcional: selecione e sincronize os clusters da sua frota com as novas configurações.
gcloud
- Crie um arquivo YAML especificando os padrões da frota escolhida para o recurso.
Execute o comando
enablepara o recurso, transmitindo o arquivo de configuração. Cada recurso do nível da frota tem um comandoenablepróprio. Por exemplo, para ativar o Cloud Service Mesh na sua frota com a configuração padrão especificada emmesh.yaml, execute este comando no projeto host da frota:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
Como alternativa, para alguns recursos, é possível especificar padrões da frota usando parâmetros para o comando fleet create ou fleet update. Consulte o guia do recurso escolhido para mais detalhes.
Terraform
Defina um recurso google_gke_hub_feature com um bloco fleet_default_member_config que especifica os padrões da frota escolhidos. Para conferir detalhes e recursos de frota compatíveis, consulte a documentação do Terraform.
Nem todos os recursos são compatíveis com a configuração padrão da frota usando todas essas opções. Para instruções detalhadas de como configurar os padrões da frota para cada recurso compatível, consulte estas documentações:
- Cloud Service Mesh
- Config Sync
- Policy Controller
- Postura de segurança
- Serviço de identidade do GKE (somente linha de comando)
- Validação contínua para autorização binária (visualização, somente linha de comando)
Ativar e configurar recursos de frota em clusters individuais
Como alternativa à configuração padrão da frota, é possível configurar os recursos da frota separadamente em clusters individuais. Essa pode ser uma boa opção se:
- O GKE Enterprise não estiver ativado.
- Você quer configurar um cluster atual para usar um recurso.
- Você quer usar serviços em que a configuração padrão da frota não esteja disponível ou em que a ferramenta escolhida não esteja disponível.
Ativar recursos
Essa etapa não é obrigatória para todos os recursos. Consulte o guia do recurso escolhido para mais detalhes.
Console
Se você ativou o GKE Enterprise, é possível ativar os recursos na página Gerenciador de recursos no console do Google Cloud.
Para ativar um recurso para sua frota:
No projeto host da frota, acesse a página Gerenciador de recursos:
Acessar o gerenciador de recursos
Os recursos que podem ser ativados, mas não configurados nessa página, aparecem em Gerenciar outros recursos do Enterprise.
Clique em Ativar no painel do recurso que você quer ativar.
Clique no botão Ativar... no painel de detalhes que é exibido.
gcloud
Cada recurso do nível da frota tem um comando enable próprio. Por exemplo,
para ativar o serviço de identidade do GKE para sua frota, execute o seguinte comando no
projeto host da frota:
gcloud container fleet identity-service enable
Consulte a documentação de referência do SDK Google Cloud e os equivalentes Beta e alpha para ver uma lista completa de comandos ou os conjuntos de documentação de recursos individuais para mais detalhes.
Para saber se um recurso já foi ativado e conferir outros status, consulte Conferir o status do recurso da frota.
Configurar clusters individuais
As etapas de configuração dependem do recurso. Consulte os guias a seguir para mais informações:
- Cloud Service Mesh
- Postura de segurança:
- Config Sync
- Policy Controller
- Serviço de identidade do GKE
- Ingress de vários clusters
Ver status do recurso da frota
Se você ativou o GKE Enterprise, a maneira mais fácil de conferir o status dos recursos da frota é usando o painel Gerenciador de recursos no console do Google Cloud.
Acessar o gerenciador de recursos
Para recursos com suporte, esta página mostra quantos clusters da frota têm o seguinte status:
- Têm esse recurso ativado
- Têm este recurso ativado com sucesso
- Têm um aviso sobre este recurso
- Têm um erro neste recurso
Também é possível verificar se as configurações padrão da frota foram definidas para o recurso e quantos clusters de membros da frota têm essas configurações. Para recursos ativados, é possível clicar em uma página de detalhes que lista os clusters que usam o recurso e, se configurado, permite selecionar e sincronizar clusters com as configurações padrão da frota.
No caso de recursos que não podem ser configurados usando esta página (listados em Gerenciar outros recursos do Enterprise), você poderá ver se o recurso foi ativado para sua frota e acessar um painel de detalhes que mostra quantos clusters têm o recurso instalado e outras informações relevantes.
Visualizar o status do recurso usando a gcloud
gcloud
Execute o seguinte comando para listar todos os recursos ativados:
gcloud container fleet features list
Desativar um recurso no nível da frota
Para desativar um recurso no nível da frota, faça o seguinte no seu projeto host da frota.
Console
Apenas os recursos da frota listados em Gerenciar outros recursos empresariais podem ser desativados no console do Google Cloud.
No projeto host da frota, acesse a página Gerenciador de recursos:
Clique em Detalhes no painel do recurso que você quer desativar.
Clique no botão Desativar... no painel de detalhes que é exibido.
gcloud
Cada recurso do nível da frota tem um comando disable próprio. Por exemplo, para desativar o Cloud Service Mesh para sua frota, execute o seguinte comando no projeto host da frota:
gcloud container fleet mesh disable
Consulte a documentação de referência do SDK Google Cloud e os equivalentes Beta e alpha para ver uma lista completa de comandos ou os conjuntos de documentação de recursos individuais para mais detalhes.
Para conferir o comportamento esperado depois de desativar um recurso para sua frota, consulte a documentação do recurso relevante. Em muitos casos, a configuração relevante ainda existe no cluster, mas não é mais possível gerenciar o recurso de forma centralizada usando comandos de frota ou o Console do Google Cloud.
Autorização de recursos
Para gerenciar recursos no nível da frota, eles precisam ser autorizados por controle de acesso baseado em função para realizar as funções nos clusters. O Google Cloud usa um serviço chamado autorizador de recursos que define e atualiza automaticamente as permissões dos recursos ativados para frotas, o que evita a necessidade de defini-las manualmente em cada cluster, principalmente quando o Google libera atualizações de recursos.
Quando você registrar um cluster,
o manifesto aplicado ao cluster terá uma
ClusterRoleBinding
que fornece ao Autorizado do recurso uma cluster-admin no cluster,
e ele é anexado a uma conta de serviço chamada
service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Quando você desativa um recurso ativado pela frota no projeto, o Autorizador
de recurso exclui o
ClusterRole e ClusterRoleBinding correspondentes do recurso,
o que remove
a capacidade do recurso de operar no cluster.
Ver o autorizador de recursos nos registros de auditoria
Para visualizar a atividade do autorizador de atributos nos registros de auditoria do GKE:
Abra o Explorador de registros no console do Google Cloud.
Execute esta consulta avançada:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Substitua:
CLUSTER_NAME: o nome do cluster com os registros que você quer ver.CLUSTER_LOCATION: o local do Google Cloud em que o cluster foi criado.PROJECT_NUMBER: o número do projeto do Google Cloud para o projeto que tem o cluster.
Para clusters que não são do GKE, descubra onde os registros de auditoria do Kubernetes são armazenados e execute uma consulta semelhante.