As frotas permitem gerenciar recursos empresariais e outros recursos ativados para frotas em vários clusters de uma só vez. Isso permite, por exemplo, aplicar um conjunto comum de políticas ou criar uma malha de serviço único na frota de clusters. Esta página fornece uma visão geral de como gerenciar as funcionalidades da sua frota. Para mais informações sobre como configurar e usar recursos individuais, consulte a documentação deles.
Se você tiver ativado o Google Kubernetes Engine (GKE) Enterprise, poderá gerenciar recursos no console do Google Cloud. Todos os usuários da frota podem gerenciar recursos usando a linha de comando.
Alguns recursos permitem criar uma configuração de recursos padrão no nível da frota para os clusters da frota. Por exemplo, é possível garantir que todos os clusters criados na sua frota tenham o Controlador de Políticas instalado e configurado. A configuração padrão na frota está disponível apenas para usuários que ativaram o GKE Enterprise.
Alguns comandos de gerenciamento de recursos de visualização estão disponíveis apenas como parte dos componentes beta e alpha do SDK Google Cloud. Talvez seja necessário instalar esses componentes para usar esses comandos.
Saiba mais sobre como o gerenciamento de recursos no nível da frota nos clusters funciona nos bastidores na seção Autorização de recursos.
Recursos no nível da frota
Você pode gerenciar os seguintes recursos no nível da frota:
- Serviço de identidade do GKE
- Cloud Run for Anthos
- Config Sync
- Anthos Service Mesh gerenciado (API de visualização)
- Ingress de vários clusters
- Serviços de vários clusters (somente clusters do GKE)
- Policy Controller
- Postura de segurança
Esta lista não inclui todos os recursos que usam ou exigem frotas. Por exemplo, identidade da carga de trabalho da frota depende dos clusters serem membros de uma frota, mas não precisam ser configurados no nível dela. O Anthos Service Mesh requer associação para todos os planos de controle e opções de configuração.
Se você ativou o GKE Enterprise, terá direito de usar todos os recursos da frota como parte da sua titularidade do GKE Enterprise. Se você for um usuário do GKE no Google Cloud e quiser pagar e usar os recursos disponíveis separadamente, consulte a documentação e a página de preços relevantes para saber quais cobranças podem ser feitas ao usar o recurso. Alguns recursos estão incluídos nos preços básicos do GKE. Saiba mais sobre quais recursos estão disponíveis em quais ambientes na página Opções de implantação.
Definir configurações no nível da frota
As seções a seguir descrevem como ativar e configurar recursos no nível da frota.
Para usar um recurso no nível da frota, enable esse recurso e enable esse recurso para os membros da frota. Algumas configurações (ou outras adicionais) geralmente são necessárias para usar o recurso com seus clusters e cargas de trabalho.
Se você ativou o GKE Enterprise, também poderá criar configurações de cluster padrão da frota para alguns recursos.
Ativar e configurar recursos de frota em clusters individuais
Para ativar um recurso para sua frota, siga estas etapas:
Console
Para ativar um recurso para sua frota:
- No projeto host da frota, acesse a página Recursos.
- Clique em Ativar na linha do recurso que você quer ativar.
- Clique no botão Ativar... no painel de detalhes que é exibido.
gcloud
Cada recurso do nível da frota tem um comando enable próprio. Por exemplo,
para ativar o Anthos Service Mesh para sua frota, execute o seguinte comando no
projeto host da frota:
gcloud container fleet mesh enable
Consulte a documentação de referência do SDK Google Cloud e os equivalentes Beta e Alfa para ver uma lista completa de comandos ou os conjuntos de documentação de recursos individuais para mais detalhes.
As próximas etapas de configuração dependem do recurso.
Configurar padrões no nível da frota
Com o GKE Enterprise, é possível criar configurações padrão no nível da frota para seus clusters do GKE. Para instruções sobre como definir e editar essas configurações, consulte a seguinte documentação:
- Anthos Service Mesh
- Config Sync
- Validação contínua para autorização binária
- Policy Controller
- Postura de segurança
Depois de definir as configurações no nível da frota, todos os clusters do GKE registrados durante a criação deles será automaticamente definidos com as configurações no nível da frota.
Ver status do recurso da frota
Para ver o status dos recursos da sua frota, faça o seguint no projeto host da frota:
Console
Acesse a página Recursos:
Os recursos ativados aparecem como Ativados na lista "Recursos".
Para conferir o status de um recurso nos clusters da sua frota, clique em *Detalhes. O painel de detalhes é exibido. Esse painel mostra o status do recurso nos clusters da frota. Para alguns recursos, este painel também fornece links para configurar ou atualizar o recurso.
Se você ativou o GKE Enterprise, também será possível ver o status de alguns recursos no painel do gerenciador de recursos.
gcloud
Execute o seguinte comando para listar todos os recursos ativados no momento:
gcloud container fleet features list
Acessar o painel do gerenciador de atributos da frota
O painel do gerenciador de recursos permite visualizar o status de recursos selecionados, definir e editar configurações no nível da frota e aplicá-las aos clusters:
Acessar o gerenciador de recursos
Esse painel também mostra quantos clusters da frota têm os seguintes status:
- Têm um recurso ativado.
- Ter um recurso ativado
- Tem um aviso
- Tem um erro
A guia Configurações mostra se o GKE Enterprise está ativado. Se você quiser desativar o GKE Enterprise, consulte Desativar o GKE Enterprise.
Desativar um recurso no nível da frota
Para desativar um recurso no nível da frota, faça o seguinte no seu projeto host da frota.
Console
- No projeto host da frota, acesse a página Recursos.
- Clique em Detalhes na linha do recurso que você quer desativar.
- Clique no botão Desativar... no painel de detalhes que é exibido.
gcloud
Cada recurso do nível da frota tem um comando disable próprio. Por exemplo, para desativar o Anthos Service Mesh para sua frota, execute o seguinte comando no projeto host da frota:
gcloud container fleet mesh disable
Consulte a documentação de referência do SDK Google Cloud e os equivalentes Beta e Alfa para ver uma lista completa de comandos ou os conjuntos de documentação de recursos individuais para mais detalhes.
Para conferir o comportamento esperado depois de desativar um recurso para sua frota, consulte a documentação do recurso relevante. Em muitos casos, a configuração relevante ainda existe no cluster, mas não é mais possível gerenciar o recurso de forma centralizada usando comandos de frota ou o Console do Google Cloud.
Autorização de recursos
Para gerenciar recursos no nível da frota, eles precisam ser autorizados por controle de acesso baseado em função para realizar as funções nos clusters. O Google Cloud usa um serviço chamado autorizador de recursos que define e atualiza automaticamente as permissões dos recursos ativados para frotas, o que evita a necessidade de defini-las manualmente em cada cluster, principalmente quando o Google libera atualizações de recursos.
Quando você registrar um cluster, o manifesto aplicado ao cluster terá uma ClusterRoleBinding que fornece ao Autorizado do recurso uma cluster-admin no cluster, e ele é anexado a uma conta de serviço chamada
service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Quando você desativa um recurso ativado pela frota no projeto, o Autorizador
de recurso exclui o
ClusterRole e ClusterRoleBinding correspondentes do recurso,
o que remove
a capacidade do recurso de operar no cluster.
Ver o autorizador de recursos nos registros de auditoria
Para visualizar a atividade do autorizador de atributos nos registros de auditoria do GKE:
Abra o Explorador de registros no console do Google Cloud.
Execute esta consulta avançada:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Substitua:
CLUSTER_NAME: o nome do cluster com os registros que você quer ver.CLUSTER_LOCATION: o local do Google Cloud em que o cluster foi criado.PROJECT_NUMBER: o número do projeto do Google Cloud para o projeto que tem o cluster.
Para clusters que não são do GKE, descubra onde os registros de auditoria do Kubernetes são armazenados e execute uma consulta semelhante.