I parchi risorse consentono di gestire contemporaneamente funzionalità aziendali e altre funzionalità abilitate per il parco risorse in più cluster. Ciò consente, ad esempio, di applicare un insieme comune di criteri o di creare un mesh di servizi singoli nel parco risorse di cluster. Questa pagina fornisce una panoramica di come gestire le funzionalità per il tuo parco risorse. Per ulteriori informazioni sulla configurazione e sull'utilizzo delle singole funzionalità, consulta la relativa documentazione.
Se hai abilitato la versione Google Kubernetes Engine (GKE) Enterprise, puoi gestire le funzionalità nella console Google Cloud. Tutti gli utenti del parco risorse possono gestire le funzionalità tramite la riga di comando.
Alcune funzionalità consentono di creare una configurazione predefinita delle funzionalità a livello di parco risorse per i cluster del parco risorse. Ad esempio, puoi assicurarti che per ogni cluster che crei nel tuo parco risorse sia installato e configurato Policy Controller. La configurazione predefinita a livello di parco risorse è disponibile solo per gli utenti che hanno abilitato GKE Enterprise.
Per scoprire di più su come funziona la gestione delle funzionalità a livello di parco risorse nei tuoi cluster, consulta la sezione Autorizzazione delle funzionalità.
Funzionalità a livello di parco risorse
Puoi gestire le seguenti funzionalità a livello di parco risorse:
- Anthos Service Mesh gestito
- Postura di sicurezza
- Sincronizzazione della configurazione
- Policy Controller
- Servizio GKE Identity
- In entrata multi-cluster
- Servizi multi-cluster (solo cluster GKE)
- Convalida continua per Autorizzazione binaria
Questo elenco non include tutte le funzionalità che utilizzano o richiedono parchi risorse. Ad esempio, Federazione delle identità per i carichi di lavoro del parco risorse si basa sui cluster che sono membri di un parco risorse, ma non richiede una configurazione a livello di parco risorse e Anthos Service Mesh richiede l'appartenenza al parco risorse per tutti i piani di controllo e le opzioni di configurazione.
Se hai abilitato GKE Enterprise, puoi utilizzare tutte queste funzionalità senza costi aggiuntivi. Se utilizzi il livello GKE Standard, puoi pagare e utilizzare separatamente un sottoinsieme di queste funzionalità. Per ulteriori informazioni sulle funzionalità disponibili in ogni ambiente, consulta la pagina Opzioni di deployment.
Configura le funzionalità a livello di parco risorse
Le seguenti sezioni descrivono come abilitare e configurare le funzionalità a livello di parco risorse.
Per utilizzare una funzionalità a livello di parco risorse, nella maggior parte dei casi devi enable e enable per i membri del parco risorse. In genere sono necessarie alcune configurazioni (o altre configurazioni aggiuntive) per utilizzare effettivamente la funzionalità con i cluster e i carichi di lavoro.
Se hai abilitato GKE Enterprise, puoi creare configurazioni di cluster predefinite per alcune funzionalità, il che significa che i nuovi cluster che crei nel tuo parco risorse verranno creati con le impostazioni specificate per la funzionalità già configurate. Per altre funzionalità o se non utilizzi il livello Enterprise, devi configurare la funzionalità su ogni singolo cluster.
Attiva le funzionalità con impostazioni predefinite a livello di parco risorse
Con GKE Enterprise, puoi creare impostazioni predefinite a livello di parco risorse per i tuoi cluster GKE per alcune funzionalità. Dopo aver creato queste impostazioni, qualsiasi cluster GKE che registri durante la creazione del cluster viene configurato automaticamente con le configurazioni a livello di parco risorse. Ad esempio, se configuri i valori predefiniti per Policy Controller, in ogni nuovo cluster che crei nel tuo parco risorse sarà installata la versione specificata di Policy Controller, con i pacchetti di criteri specificati e altre impostazioni. Le impostazioni predefinite del parco risorse non vengono applicate automaticamente ai cluster membri del parco risorse esistenti, anche se puoi sincronizzare i cluster esistenti con le tue impostazioni predefinite utilizzando la console Google Cloud.
La procedura generale per attivare le funzionalità con valori predefiniti a livello di parco risorse è la seguente:
Console
Nel progetto host del parco risorse, vai alla pagina Gestione funzionalità:
Le funzionalità che supportano la configurazione delle impostazioni predefinite a livello di parco risorse utilizzando la console Google Cloud sono elencate in Gestione delle funzionalità a livello di parco risorse.
Per la funzionalità che hai scelto, fai clic su Configura e segui le istruzioni per attivare e configurare le impostazioni predefinite per la funzionalità.
(Facoltativo) Seleziona e sincronizza i cluster esistenti nel tuo parco risorse con le nuove impostazioni.
gcloud
- Crea un file YAML specificando le impostazioni predefinite del parco risorse scelte per la funzionalità.
Esegui il comando
enableper la funzionalità, passando il file di configurazione. Ogni funzionalità a livello di parco risorse ha il proprio comandoenable. Ad esempio, per abilitare Anthos Service Mesh per il tuo parco risorse con la configurazione predefinita specificata inmesh.yaml, esegui questo comando nel progetto host del parco risorse:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
In alternativa, per alcune funzionalità puoi specificare i valori predefiniti del parco risorse utilizzando i parametri nel comando fleet create o fleet update. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Terraform
Definisci una risorsa google_gke_hub_feature con un blocco fleet_default_member_config che specifichi le impostazioni predefinite del parco risorse che hai scelto. Per i dettagli e le funzionalità supportate del parco risorse, consulta la documentazione di Terraform.
Non tutte le funzionalità supportano la configurazione predefinita del parco risorse che utilizza tutte queste opzioni. Per istruzioni dettagliate su come configurare le impostazioni predefinite del parco risorse per ogni funzionalità supportata, consulta la seguente documentazione:
- Anthos Service Mesh
- Sincronizzazione della configurazione
- Policy Controller
- Postura di sicurezza
- GKE Identity Service (solo a riga di comando)
- Convalida continua per Autorizzazione binaria (anteprima, solo riga di comando)
Abilita e configura le funzionalità del parco risorse su singoli cluster
In alternativa alla configurazione predefinita del parco risorse, puoi scegliere di configurare separatamente le funzionalità del parco risorse sui singoli cluster. Questa opzione potrebbe essere una buona soluzione se:
- Non hai abilitato GKE Enterprise.
- Vuoi configurare un cluster esistente per l'utilizzo di una funzionalità.
- Vuoi utilizzare servizi in cui la configurazione predefinita del parco risorse non è disponibile o non è disponibile con lo strumento scelto.
Abilita le funzionalità
Tieni presente che questo passaggio non è obbligatorio per tutte le funzionalità. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Console
Se hai abilitato GKE Enterprise, puoi abilitare le funzionalità dalla pagina Gestione funzionalità della console Google Cloud.
Per attivare una funzionalità per il tuo parco risorse:
Nel progetto host del parco risorse, vai alla pagina Gestione funzionalità:
Le funzionalità che possono essere attivate ma non configurate da questa pagina sono elencate nella sezione Gestisci altre funzionalità di livello enterprise.
Fai clic su Attiva nel riquadro della funzionalità che vuoi attivare.
Fai clic sul pulsante Attiva... nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di parco risorse ha il proprio comando enable. Ad esempio, per abilitare GKE Identity Service per il tuo parco risorse, esegui questo comando nel progetto host del parco risorse:
gcloud container fleet identity-service enable
Consulta la documentazione di riferimento di Google Cloud SDK (e i relativi equivalenti beta e alpha) per un elenco completo dei comandi o la documentazione sulle singole funzionalità per ulteriori dettagli.
Per scoprire come verificare se una funzionalità è già stata attivata e visualizzare altri stati, consulta Visualizzare lo stato delle funzionalità del parco risorse.
Configura i singoli cluster
I passaggi di configurazione che segui dipendono dalla funzionalità. Per saperne di più, consulta le seguenti guide:
- Anthos Service Mesh
- Postura di sicurezza:
- Sincronizzazione della configurazione
- Policy Controller
- Servizio GKE Identity
- In entrata multi-cluster
Visualizza lo stato delle funzionalità del parco risorse
Se hai abilitato GKE Enterprise, il modo più semplice per visualizzare lo stato delle funzionalità del parco risorse è utilizzare la dashboard di Gestore funzionalità nella console Google Cloud.
Per le funzionalità supportate, questa pagina mostra quanti cluster del tuo parco risorse hanno il seguente stato:
- Hanno attivato questa funzionalità
- Hanno attivato correttamente questa funzionalità
- Hai un avviso per questa funzionalità
- Si è verificato un errore con questa funzionalità
Puoi anche vedere se sono state configurate impostazioni predefinite del parco risorse per la funzionalità e quanti cluster membri del parco risorse hanno queste impostazioni. Per le funzionalità abilitate, puoi fare clic su una pagina dei dettagli che elenca i cluster che utilizzano la funzionalità e, se configurata, ti consente di selezionare e sincronizzare i cluster con le impostazioni predefinite del tuo parco risorse.
Per le funzionalità che non possono essere configurate utilizzando questa pagina (elencata in Gestisci altre funzionalità di livello enterprise), puoi vedere se la funzionalità è stata abilitata per il tuo parco risorse e visualizzare un riquadro dei dettagli che mostra quanti cluster hanno la funzionalità installata e altre informazioni pertinenti.
Visualizza lo stato delle funzionalità utilizzando gcloud
gcloud
Esegui questo comando per elencare tutte le funzionalità abilitate:
gcloud container fleet features list
Disattiva una funzionalità a livello di parco risorse
Per disabilitare una funzionalità a livello di parco risorse, procedi come segue nel progetto host del parco risorse.
Console
Solo le funzionalità del parco risorse elencate in Gestisci altre funzionalità di livello enterprise possono essere disabilitate dalla console Google Cloud.
Nel progetto host del parco risorse, vai alla pagina Gestione funzionalità:
Fai clic su Dettagli nel riquadro della funzionalità da disattivare.
Fai clic sul pulsante Disattiva... nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di parco risorse ha il proprio comando disable. Ad esempio, per disabilitare Anthos Service Mesh per il tuo parco risorse, esegui il comando seguente nel progetto host del parco risorse:
gcloud container fleet mesh disable
Consulta la documentazione di riferimento di Google Cloud SDK (e i relativi equivalenti beta e alpha) per un elenco completo dei comandi o la documentazione sulle singole funzionalità per ulteriori dettagli.
Per il comportamento previsto dopo la disattivazione di una funzionalità per il parco risorse, consulta la relativa documentazione. In molti casi, la configurazione pertinente esiste ancora nel cluster, ma non puoi più gestire la funzionalità centralmente utilizzando i comandi del parco risorse o la console Google Cloud.
Autorizzazione delle funzionalità
Per gestire le funzionalità a livello di parco risorse, devono essere autorizzate tramite controllo dell'accesso basato sui ruoli per eseguire le proprie funzioni sui cluster. Google Cloud utilizza un servizio chiamato Autorizzazione funzionalità che imposta e aggiorna automaticamente le autorizzazioni per le funzionalità abilitate per il parco risorse, in modo da non dover impostare manualmente le autorizzazioni per le funzionalità su ogni cluster, soprattutto quando Google rilascia aggiornamenti delle funzionalità.
Quando registri un cluster, il manifest applicato al cluster contiene ClusterRoleBinding che conferisce all'autorizzazione delle funzionalità un ruolo cluster-admin sul cluster e il ruolo viene associato a un account di servizio denominato service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Quando disabiliti una funzionalità abilitata per il parco risorse nel tuo progetto, Gestore delle funzionalità elimina i valori ClusterRole e ClusterRoleBinding corrispondenti per la funzionalità, eliminando così la possibilità di operare sul cluster.
Visualizza autorizzatore funzionalità negli audit log
Per visualizzare l'attività di Autorizzazione funzionalità negli audit log di GKE:
Apri Esplora log nella console Google Cloud.
Esegui la seguente query avanzata:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster per cui vuoi visualizzare i log.CLUSTER_LOCATION: la località Google Cloud in cui è stato creato il cluster.PROJECT_NUMBER: il numero di progetto Google Cloud per il progetto proprietario del cluster.
Per i cluster non GKE, scopri dove sono archiviati gli audit log di Kubernetes ed esegui una query simile.