I parchi risorse consentono di gestire funzionalità aziendali e altre funzionalità abilitate per il parco risorse su più cluster contemporaneamente. In questo modo, ad esempio, puoi applicare un insieme comune di criteri o creare un mesh di servizi singoli nel parco risorse di cluster. Questa pagina fornisce una panoramica di come puoi gestire le funzionalità per il tuo parco risorse. Per ulteriori informazioni sulla configurazione e sull'utilizzo delle singole funzionalità, consulta la relativa documentazione.
Se hai abilitato la versione Google Kubernetes Engine (GKE) Enterprise, puoi gestire le funzionalità nella console Google Cloud. Tutti gli utenti del parco risorse possono gestire le funzionalità usando la riga di comando.
Alcune funzionalità consentono di creare una configurazione delle funzionalità predefinita a livello di parco risorse per i cluster del parco risorse. Ad esempio, puoi assicurarti che in ogni cluster che crei nel parco risorse sia installato e configurato Policy Controller. La configurazione predefinita a livello di parco risorse è disponibile solo per gli utenti che hanno abilitato GKE Enterprise.
Per saperne di più su come funziona "in background" la gestione delle funzionalità a livello di parco risorse nei tuoi cluster, consulta la sezione Autorizzazione delle funzionalità.
Caratteristiche a livello di parco risorse
Puoi gestire le seguenti funzionalità a livello di parco risorse:
- Cloud Service Mesh gestito
- Postura di sicurezza
- Configurazione Sync
- Policy Controller
- Servizio di identità GKE
- Ingress multi-cluster
- Servizi multi-cluster (solo cluster GKE)
- Convalida continua per Autorizzazione binaria
Questo elenco non include tutte le funzionalità che utilizzano o richiedono parchi risorse. Ad esempio, la Federazione delle identità per i carichi di lavoro del parco risorse si basa su cluster che fanno parte di un parco risorse, ma non richiede la configurazione a livello di parco risorse, e Cloud Service Mesh richiede l'appartenenza al parco risorse per tutte le opzioni del piano di controllo e di configurazione.
Se hai abilitato GKE Enterprise, puoi utilizzare tutte queste funzionalità senza costi aggiuntivi. Se utilizzi il livello GKE Standard, puoi usare un sottoinsieme di queste funzionalità a pagamento. Per ulteriori informazioni sulle funzionalità disponibili in ogni ambiente, consulta la pagina Opzioni di deployment.
Configura funzionalità a livello di parco risorse
Le sezioni seguenti descrivono come abilitare e configurare le funzionalità a livello di parco risorse.
Per utilizzare una funzionalità a livello di parco risorse, nella maggior parte dei casi devi enable per il parco risorse e enable per i membri del parco risorse. In genere sono necessarie alcune configurazioni (o altre configurazioni aggiuntive) per utilizzare effettivamente la funzionalità con i cluster e i carichi di lavoro.
Se hai abilitato GKE Enterprise, puoi creare configurazioni di cluster predefinite del parco risorse per alcune funzionalità, il che significa che tutti i nuovi cluster che crei nel tuo parco risorse verranno creati con le impostazioni specificate per quella funzionalità già configurate. Per altre funzionalità, o se non utilizzi il livello Enterprise, devi configurare la funzionalità su ogni singolo cluster.
Abilita le funzionalità con valori predefiniti a livello di parco risorse
Con GKE Enterprise, puoi creare impostazioni predefinite a livello di parco risorse per i cluster GKE per alcune funzionalità. Dopo aver creato queste impostazioni, qualsiasi cluster GKE che registri durante la creazione del cluster viene configurato automaticamente con le configurazioni a livello di parco risorse. Quindi, ad esempio, se configuri i valori predefiniti per Policy Controller, a ogni nuovo cluster che crei nel tuo parco risorse verrà installata la versione specificata di Policy Controller, con i pacchetti di criteri specificati e altre impostazioni. Le impostazioni predefinite del parco risorse non vengono applicate automaticamente ai cluster membri del parco risorse esistenti, anche se puoi sincronizzare i cluster esistenti con le impostazioni predefinite utilizzando la console Google Cloud.
La procedura generale per attivare le funzionalità con valori predefiniti a livello di parco risorse è la seguente:
Console
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Le funzionalità che supportano la configurazione di valori predefiniti a livello di parco risorse utilizzando la console Google Cloud sono elencate in Gestione delle funzionalità a livello di parco risorse.
In corrispondenza della funzionalità che hai scelto, fai clic su Configura e segui le istruzioni per attivare e configurare le impostazioni predefinite per la funzionalità.
(Facoltativo) Seleziona e sincronizza i cluster esistenti nel tuo parco risorse con le nuove impostazioni.
gcloud
- Crea un file YAML che specifichi le impostazioni predefinite del parco risorse che hai scelto per la funzionalità.
Esegui il comando
enableper la caratteristica, passando il file di configurazione. Ogni funzionalità a livello di parco risorse ha il proprio comandoenable. Ad esempio, per abilitare Cloud Service Mesh per il parco risorse con la configurazione predefinita specificata inmesh.yaml, esegui questo comando nel progetto host del parco risorse:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
In alternativa, per alcune funzionalità puoi specificare i valori predefiniti del parco risorse utilizzando i parametri per il comando fleet create o fleet update. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Terraform
Definisci una risorsa google_gke_hub_feature con un blocco fleet_default_member_config che specifica i valori predefiniti del parco risorse che hai scelto. Per dettagli e funzionalità del parco risorse supportate, consulta la documentazione di Terraform.
Non tutte le funzionalità supportano la configurazione predefinita del parco risorse utilizzando tutte queste opzioni. Per istruzioni dettagliate su come configurare i valori predefiniti del parco risorse per ogni funzionalità supportata, consulta la seguente documentazione:
- Cloud Service Mesh
- Configurazione Sync
- Policy Controller
- Postura di sicurezza
- GKE Identity Service (solo riga di comando)
- Convalida continua per Autorizzazione binaria (anteprima, solo riga di comando)
Abilita e configura le funzionalità del parco risorse su singoli cluster
In alternativa alla configurazione predefinita del parco risorse, puoi scegliere di configurare le funzionalità del parco risorse separatamente sui singoli cluster. Potrebbe essere una buona soluzione se:
- Non hai abilitato GKE Enterprise.
- Vuoi configurare un cluster esistente per utilizzare una funzionalità.
- Vuoi utilizzare servizi in cui la configurazione predefinita del parco risorse non è disponibile o non è disponibile utilizzando lo strumento che hai scelto.
Abilita le funzionalità
Tieni presente che questo passaggio non è obbligatorio per tutte le funzionalità. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Console
Se hai abilitato GKE Enterprise, puoi abilitare le funzionalità dalla pagina Feature Manager nella console Google Cloud.
Per attivare una funzionalità per il tuo parco risorse:
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Le funzionalità che possono essere attivate, ma non configurate da questa pagina sono elencate in Gestire altre funzionalità di livello enterprise.
Fai clic su Attiva nel riquadro per la funzionalità che vuoi attivare.
Fai clic sul pulsante Attiva... nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di parco risorse ha il proprio comando enable. Ad esempio,
per abilitare GKE Identity Service per il tuo parco risorse, devi eseguire il comando seguente nel
progetto host del parco risorse:
gcloud container fleet identity-service enable
Consulta la documentazione di riferimento di Google Cloud SDK (e i relativi equivalenti beta e alpha) per un elenco completo dei comandi oppure i set di documentazione delle singole funzionalità per ulteriori dettagli.
Per scoprire come verificare se una funzionalità è già stata attivata e visualizzare altri stati, consulta Visualizzare lo stato delle funzionalità del parco risorse.
Configura singoli cluster
I passaggi di configurazione da seguire dipendono dalla funzionalità. Per ulteriori informazioni, consulta le seguenti guide:
- Cloud Service Mesh
- Postura di sicurezza:
- Configurazione Sync
- Policy Controller
- Servizio di identità GKE
- Ingress multi-cluster
Visualizza lo stato delle funzionalità del parco risorse
Se hai abilitato GKE Enterprise, il modo più semplice per visualizzare lo stato delle funzionalità del parco risorse è utilizzare la dashboard di Feature Manager nella console Google Cloud.
Per le funzionalità supportate, questa pagina mostra quanti cluster del parco risorse hanno il seguente stato:
- Hanno questa funzionalità attivata
- Funzionalità attivata
- Visualizza un avviso per questa funzionalità
- Visualizza un errore per questa funzionalità
Puoi anche vedere se sono state configurate impostazioni predefinite del parco risorse per la funzionalità e quanti cluster di membri del parco risorse hanno queste impostazioni. Per le funzionalità abilitate, puoi fare clic fino a una pagina dei dettagli che elenca i cluster che utilizzano la funzionalità e, se configurata, ti consente di selezionare e sincronizzare i cluster con le impostazioni predefinite del parco risorse.
Per le funzionalità che non possono essere configurate utilizzando questa pagina (elencata in Gestisci altre funzionalità di livello enterprise), puoi vedere se la funzionalità è stata abilitata nel tuo parco risorse e visualizzare un riquadro dei dettagli che mostra quanti cluster hanno la funzionalità installata e altre informazioni pertinenti.
Visualizza lo stato della funzionalità utilizzando gcloud
gcloud
Esegui questo comando per elencare tutte le funzionalità abilitate:
gcloud container fleet features list
Disattivare una funzionalità a livello di parco risorse
Per disattivare una funzionalità a livello di parco risorse, segui questi passaggi nel progetto host del parco risorse.
Console
Dalla console Google Cloud è possibile disabilitare solo le funzionalità del parco risorse elencate in Gestisci altre funzionalità di livello enterprise.
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Fai clic su Dettagli nel riquadro della funzionalità che vuoi disattivare.
Fai clic sul pulsante Disattiva... nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di parco risorse ha il proprio comando disable. Ad esempio, per disabilitare Cloud Service Mesh per il tuo parco risorse, esegui questo comando nel progetto host del parco risorse:
gcloud container fleet mesh disable
Consulta la documentazione di riferimento di Google Cloud SDK (e i relativi equivalenti beta e alpha) per un elenco completo dei comandi oppure i set di documentazione delle singole funzionalità per ulteriori dettagli.
Per il comportamento previsto dopo la disattivazione di una funzionalità per il tuo parco risorse, consulta la documentazione relativa alle funzionalità pertinente. In molti casi, la configurazione pertinente esiste ancora nel cluster, ma non è più possibile gestire centralmente la funzionalità utilizzando i comandi del parco risorse o la console Google Cloud.
Autorizzazione delle funzionalità
Per gestire le funzionalità a livello di parco risorse, devono essere autorizzate tramite controllo dell'accesso basato sui ruoli a eseguire le proprie funzioni sui cluster. Google Cloud utilizza un servizio chiamato Feature Autorizzatore, che imposta e aggiorna automaticamente le autorizzazioni per le funzionalità abilitate per il parco risorse, evitando così di dover impostare manualmente le autorizzazioni per ogni cluster, in particolare quando Google rilascia gli aggiornamenti delle funzionalità.
Quando registri un cluster, il manifest applicato al cluster contiene un ClusterRoleBinding che assegna a Feature Autorizzatore un ruolo cluster-admin sul cluster e il ruolo è associato a un account di servizio denominato service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Quando disabiliti una funzionalità abilitata per il parco risorse nel tuo progetto, Autorizzazione funzionalità elimina l'elemento ClusterRole e l'elemento ClusterRoleBinding corrispondenti per la funzionalità, il che impedisce alla funzionalità di operare sul cluster.
Visualizza Autorizzazione funzionalità negli audit log
Per visualizzare l'attività di Autorizzatore delle funzionalità negli audit log di GKE:
Apri Esplora log nella console Google Cloud.
Esegui questa query avanzata:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster per il quale vuoi visualizzare i log.CLUSTER_LOCATION: la località Google Cloud in cui è stato creato il cluster.PROJECT_NUMBER: il numero del progetto Google Cloud del progetto proprietario del cluster.
Per i cluster non GKE, scopri dove sono archiviati gli audit log di Kubernetes ed esegui una query simile.