Siapkan tim untuk armada Anda

Halaman ini ditujukan bagi admin platform yang ingin menyiapkan dan mengelola penggunaan fleet untuk tim. Fitur pengelolaan tim fleet hanya tersedia bagi pengguna yang telah mengaktifkan GKE Enterprise.

Halaman ini mengasumsikan bahwa Anda telah membaca ringkasan Pengelolaan tim armada.

Ringkasan penyiapan tim

Anda dapat membentuk tim menggunakan Google Cloud CLI, konsol Google Cloud, atau Terraform.

Prosedur umum untuk menyiapkan tim adalah sebagai berikut:

  1. Pilih atau buat perangkat tempat Anda ingin menyiapkan akses tim, dan pastikan Anda memiliki izin dan API yang tepat untuk menyelesaikan penyiapan.
  2. (Opsional tetapi direkomendasikan) Siapkan kontrol akses untuk Google Grup di cluster fleet Anda.
  3. Tentukan pengguna mana yang membentuk tim dan pastikan mereka memiliki akses ke armada. Tim dapat menyertakan Google Grup (direkomendasikan) dan/atau akun perorangan.
  4. Membuat ruang lingkup tim.
  5. Tambahkan satu atau beberapa (atau semua) cluster anggota fleet ke cakupan tim.
  6. Menentukan namespace tingkat fleet dan mengaitkannya dengan cakupan tim.
  7. Beri anggota tim akses ke cakupan baru mereka menggunakan resource RBACRoleBinding.
  8. (Opsional) Gunakan Config Sync untuk menyinkronkan resource Kubernetes ke cakupan dan namespace tim.

Tim kemudian bisa mendapatkan kredensial untuk mengakses cluster mereka menggunakan Connect Gateway.

Menyiapkan Google Cloud CLI

Meskipun Anda membuat cakupan tim menggunakan Konsol Google Cloud, Anda mungkin masih perlu menyiapkan gcloud CLI untuk menyelesaikan beberapa prasyarat saat menyiapkan fleet Anda, seperti mengaktifkan API yang diperlukan.

  1. Pastikan Anda memiliki Google Cloud CLI versi terbaru, termasuk komponen alfa Google Cloud CLI. Anda memerlukan minimal versi 419.0.0 untuk menggunakan perintah pengelolaan tim fleet.

  2. Jalankan perintah berikut untuk login ke Google Cloud:

    gcloud auth login

  3. initialize gcloud CLI untuk digunakan dengan project host fleet yang Anda pilih, atau jalankan perintah berikut untuk menetapkan project host fleet sebagai default:

    gcloud config set project PROJECT_ID

    Anda dapat menggunakan flag --project dengan salah satu perintah berikut untuk menentukan project host fleet yang berbeda, jika diperlukan.

Siapkan perangkat Anda

Pilih atau buat armada tempat Anda ingin menyiapkan tim baru. Untuk mengetahui panduan dan contoh dalam membantu Anda menyusun armada, lihat Contoh perangkat dan panduan lainnya dalam Merencanakan armada.

Jika ingin membuat fleet bernama baru dalam project yang belum memilikinya, jalankan perintah berikut (Anda harus menyiapkan Google Cloud CLI terlebih dahulu):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Jika Anda tidak menentukan display-name, fleet baru akan dibuat dengan nama tampilan default berdasarkan nama project host fleet.

Peran IAM yang diperlukan

Jika tidak memiliki roles/owner dalam project host fleet, Anda memerlukan roles/gkehub.admin untuk membuat serta mengonfigurasi cakupan dan namespace tim. Pemilik project dapat memberikan peran ini dengan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Mengaktifkan API

Pastikan project fleet host Anda telah mengaktifkan semua API yang diperlukan, termasuk GKE Enterprise API:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Jika Anda menonaktifkan GKE Enterprise API setelah mengonfigurasi pengelolaan tim fleet, beberapa aspek fitur akan terus berfungsi, tetapi Anda tidak akan dapat memperbarui atau membuat cakupan tim atau namespace fleet.

Mengonfigurasi cluster untuk kontrol akses dengan Google Grup

Meskipun Anda dapat mengonfigurasi akses tim menggunakan RBAC ke cluster anggota fleet per pengguna tanpa konfigurasi cluster tambahan, sebaiknya berikan akses ke cluster kepada anggota tim berdasarkan keanggotaan mereka dalam tim Google Grup. Memberikan otorisasi berdasarkan keanggotaan grup berarti Anda tidak perlu menyiapkan otorisasi terpisah untuk setiap akun, membuat kebijakan lebih mudah dikelola dan lebih mudah diaudit, serta menghilangkan keharusan menambahkan/menghapus pengguna individu secara manual dari cluster saat mereka bergabung atau keluar dari tim. Gunakan panduan berikut untuk memastikan cluster yang ingin ditetapkan ke cakupan tim dapat menggunakan Google Grup dengan Connect Gateway untuk kontrol akses:

Memberi anggota tim akses ke fleet

Selanjutnya, putuskan atau temukan pengguna mana yang membentuk tim dan pastikan mereka memiliki akses ke armada. Seperti yang disebutkan di bagian sebelumnya, sebaiknya Anda memberi anggota tim akses ke sumber daya mereka berdasarkan keanggotaan Google Grup, meskipun pengelolaan tim juga memungkinkan Anda memberikan akses kepada pengguna individual. Pastikan bahwa Google Grup atau individu yang relevan memiliki peran Identity and Access Management (IAM) yang sesuai dan dikonfigurasi agar dapat digunakan dengan cluster armada:

gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=group:TEAM_EMAIL \
   --role=roles/gkehub.viewer

gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=group:TEAM_EMAIL \
   --role=roles/gkehub.gatewayEditor
  • PROJECT_ID adalah ID project host fleet Anda
  • TEAM_EMAIL adalah alamat email untuk Google Grup tim.

Perintah ini memungkinkan anggota tim melihat semua cluster fleet di Google Cloud Console dan (khusus Google Grup) menggunakan Connect Gateway untuk login ke cluster anggota armada dengan otorisasi berbasis Google Grup.

Menyiapkan tim baru

Petunjuk berikut menunjukkan cara membuat cakupan tim baru untuk sebuah tim.

gcloud

Membuat ruang lingkup tim

Untuk membuat cakupan tim baru dalam fleet, jalankan perintah berikut, dengan SCOPE_NAME adalah nama identifikasi unik yang telah Anda pilih untuk cakupan baru:

gcloud container fleet scopes create SCOPE_NAME

Menambahkan cluster ke cakupan tim

Hanya anggota fleet yang sudah ada yang dapat ditambahkan ke cakupan tim. Petunjuk ini mengasumsikan bahwa cluster yang ingin Anda tambahkan ke cakupan sudah menjadi anggota fleet. Jika perlu menambahkan cluster ke fleet, ikuti petunjuk untuk jenis cluster Anda di Membuat fleet untuk mendaftarkan cluster tersebut. Pastikan cluster yang baru terdaftar dikonfigurasi untuk menggunakan Google Grup untuk kontrol akses, seperti yang dijelaskan sebelumnya.

Cluster anggota fleet dapat ditambahkan ke sejumlah cakupan tim dalam project host fleet-nya.

Untuk menambahkan cluster ke cakupan tim, jalankan perintah berikut:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Ganti kode berikut:

  • BINDING_NAME: nama yang mewakili hubungan antara cluster dan cakupan tim. Sebaiknya gunakan MEMBERSHIP_NAME-SCOPE_NAME.
  • MEMBERSHIP_NAME: ID unik cluster dalam fleet (biasanya nama cluster).
  • (opsional) MEMBERSHIP_LOCATION: lokasi keanggotaan cluster. Jika Anda menghilangkannya, nilainya adalah global, yang merupakan default untuk pendaftaran cluster.

Membuat namespace fleet

Untuk membuat namespace dalam cakupan tim, jalankan perintah berikut:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Ganti kode berikut:

  • NAMESPACE_NAME: nama unik yang Anda pilih untuk namespace dalam fleet. Pastikan NAMESPACE_NAME tidak bentrok dengan pembatasan penamaan namespace fleet.
  • SCOPE_NAME: cakupan tim tempat Anda ingin menggunakan namespace.

Perintah ini membuat namespace Kubernetes yang disebut NAMESPACE_NAME di setiap cluster dalam cakupan tim. Anggota tim dapat menggunakan NAMESPACE_NAME seperti namespace Kubernetes lainnya setelah Anda memberi mereka akses ke cakupan mereka. Jika Anda sudah memiliki namespace Kubernetes bernama NAMESPACE_NAME dalam cakupan tim, namespace tersebut akan dianggap sebagai bagian dari namespace fleet baru. Hal ini terkadang disebut sebagai orientasi namespace.

Memberikan akses cakupan kepada tim dengan RBAC

Anggota tim kemudian dapat diberi akses ke cakupan mereka menggunakan RBAC. Gunakan perintah berikut untuk memberi Google Grup akses ke cakupan tim:

gcloud container fleet scopes rbacrolebindings create BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --group=TEAM_EMAIL

Ganti kode berikut:

  • BINDING_NAME: nama string untuk mewakili binding ini.
  • SCOPE_NAME: ID unik cakupan tim.
  • ROLE: peran RBAC yang ingin Anda berikan kepada anggota tim, yang dapat berupa admin, edit, atau view.
  • TEAM_EMAIL: alamat email untuk Google Grup tim.

Jika Anda perlu memberikan akses ke namespace kepada setiap pengguna, jalankan perintah berikut, dengan USER_EMAIL sebagai alamat email ID Google pengguna:

gcloud container fleet scopes rbacrolebindings create BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --user=USER_EMAIL

Konsol

Membuat ruang lingkup tim

  1. Setelah memilih project Fleet host, buka bagian Teams di Konsol Google Cloud.

    Buka Teams

  2. Di bagian atas halaman, klik Create Team Scope.

  3. Di halaman Team Basics, untuk Name, masukkan nama unik untuk cakupan tim Anda. Anda tidak akan dapat mengubah nama ini setelah cakupan tim dibuat.

  4. Untuk menambahkan anggota tim ke cakupan, klik Tambahkan Anggota Tim.

    • Untuk Jenis, pilih Pengguna untuk menambahkan anggota tim individual, atau Grup untuk menambahkan Google Grup (direkomendasikan).
    • Untuk Pengguna atau Grup, ketik alamat email anggota tim atau grup.
    • Untuk Peran, pilih Admin, Editor, atau Pelihat untuk menentukan tingkat akses anggota tim atau grup ke cakupan.
    • Untuk menambahkan lebih banyak anggota tim, ulangi tiga langkah sebelumnya.

  5. Untuk membuat cakupan tim tanpa menambahkan cluster dan namespace pada tahap ini, klik Create Team Scope. Jika tidak, lanjutkan ke bagian berikut untuk menambahkan cluster ke cakupan.

Menambahkan cluster ke cakupan tim

Untuk mengaitkan cluster dengan cakupan tim, cluster harus merupakan anggota armada yang sudah ada. Jika perlu menambahkan cluster ke fleet, ikuti petunjuk untuk jenis cluster Anda di Membuat fleet untuk mendaftarkan cluster tersebut. Pastikan cluster yang baru terdaftar dikonfigurasi untuk menggunakan Google Grup untuk kontrol akses, seperti yang dijelaskan sebelumnya.

Cluster anggota fleet dapat ditambahkan ke sejumlah cakupan tim dalam project host fleet-nya, sehingga memungkinkan berbagai tim menjalankan workload di cluster yang sama.

  1. Di halaman Dasar-Dasar Tim, setelah menambahkan anggota tim ke cakupan, klik Lanjutkan.
  2. Di halaman Clusters, Anda dapat memilih cluster fleet yang akan dikaitkan dengan cakupan tim ini. Di drop-down Clusters, centang cluster yang ingin ditambahkan, lalu klik OK.

Membuat namespace fleet

Anggota tim dapat menggunakan namespace fleet seperti namespace Kubernetes lainnya. Saat Anda membuat namespace fleet, namespace Kubernetes yang sesuai akan dibuat di semua cluster dalam cakupan tim, jika belum ada.

  1. Di halaman Clusters, setelah menambahkan cluster ke cakupan tim, klik Continue.
  2. Di halaman Namespaces, klik Add Namespace.
    • Untuk Name, masukkan nama unik untuk namespace dalam fleet, atau nama namespace yang sudah ada jika Anda ingin mengaktivasi namespace tersebut. Pastikan nama tersebut tidak bertentangan dengan pembatasan penamaan namespace perangkat.
  3. Untuk menambahkan lebih banyak namespace fleet ke cakupan, ulangi langkah sebelumnya.
  4. Untuk membuat cakupan tim, klik Buat Cakupan Tim. Setelah cakupan tim dibuat, Anda dapat melihat dan mengedit cakupan tim jika perlu dengan mengklik namanya di bagian Teams.

Terraform

Bagian ini menunjukkan cara menyiapkan tim baru menggunakan Terraform. Untuk informasi selengkapnya dan contoh lainnya, lihat dokumentasi referensi untuk referensi berikut:

Membuat ruang lingkup tim

Untuk membuat cakupan tim, Anda dapat menggunakan blok berikut di konfigurasi Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Ganti kode berikut:

  • TF_SCOPE_RESOURCE_NAME: nama yang Anda pilih untuk mengidentifikasi secara unik resource google_gke_hub_scope Terraform yang dibuat oleh blok ini.
  • SCOPE_NAME: nama pengidentifikasi unik untuk cakupan tim Anda.

Menambahkan cluster ke cakupan

Hanya anggota fleet yang sudah ada yang dapat ditambahkan ke cakupan tim. Jika perlu menambahkan cluster ke fleet, ikuti petunjuk untuk jenis cluster Anda di bagian Membuat fleet Anda untuk mendaftarkan cluster tersebut. Pastikan cluster yang baru terdaftar dikonfigurasi untuk menggunakan Google Grup untuk kontrol akses, seperti yang dijelaskan sebelumnya.

Untuk menambahkan cluster ke cakupan tim, gunakan blok berikut dalam konfigurasi Anda:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Ganti kode berikut:

  • TF_MEMBERSHIP_BINDING_RESOURCE_NAME: nama untuk mengidentifikasi resource google_gke_hub_membership_binding yang dibuat oleh blok ini.
  • BINDING_NAME: nama yang mewakili hubungan antara cluster dan cakupan. Sebaiknya gunakan MEMBERSHIP_NAME-SCOPE_NAME.
  • SCOPE_NAME: nama cakupan tim Anda.
  • MEMBERSHIP_NAME: ID unik cluster dalam fleet (biasanya nama cluster).
  • MEMBERSHIP_LOCATION: lokasi keanggotaan cluster.

Membuat namespace fleet

Anggota tim dapat menggunakan namespace fleet seperti namespace Kubernetes lainnya. Anda dapat membuat namespace baru atau menambahkan namespace yang sudah ada. Saat Anda membuat namespace fleet, namespace Kubernetes yang sesuai akan dibuat di semua cluster dalam cakupan tim, jika belum ada.

Untuk membuat namespace fleet, gunakan blok berikut di konfigurasi Anda:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Ganti kode berikut:

  • TF_NAMESPACE_RESOURCE_NAME: nama untuk mengidentifikasi resource google_gke_hub_namespace yang dibuat oleh blok ini.
  • NAMESPACE_NAME: nama unik yang Anda pilih untuk namespace fleet. Pastikan nama ini tidak bertentangan dengan batasan penamaan namespace fleet.
  • SCOPE_NAME: nama cakupan tim tempat namespace fleet dibuat.

Memberikan akses cakupan dengan RBAC

Anggota tim dapat diberi akses ke cakupan mereka menggunakan RBAC. Misalnya, berikut adalah konfigurasi untuk memberikan akses ke cakupan tim kepada setiap pengguna:

  resource "google_gke_hub_scope_rbac_role_binding" "TF_RBAC_ROLE_BINDING_NAME" {
    scope_rbac_role_binding_id = "BINDING_NAME"
    scope_id = SCOPE_NAME
    user = USER_EMAIL
    role {
      predefined_role = "ROLE"
    }
  }

Ganti kode berikut:

  • TF_RBAC_ROLE_BINDING_NAME: nama untuk mengidentifikasi resource google_gke_hub_scope_rbac_role_binding yang dibuat oleh blok ini.
  • BINDING_NAME: nama untuk mewakili binding ini.
  • SCOPE_NAME: nama cakupan tim.
  • USER_EMAIL: alamat email pengguna.
  • ROLE: peran RBAC yang ingin Anda berikan kepada pengguna, yang dapat berupa admin, edit, atau view.

Untuk memberikan akses ke cakupan tim kepada Google Grup, gunakan group, bukan user, dalam konfigurasi sebelumnya, dan gunakan alamat email untuk Google Grup tim.

Mengakses namespace fleet

Setelah penyiapan selesai, anggota tim dapat mengakses namespace dalam cakupan mereka dengan mendapatkan kredensial cluster yang relevan. Untuk mendapatkan kredensial bagi cluster anggota armada menggunakan Connect Gateway, jalankan perintah berikut, dengan MEMBERSHIP_NAME adalah nama keanggotaan fleet cluster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Untuk mengetahui detail selengkapnya, lihat Menggunakan Gateway Connect.

Mengelola cakupan tim

Gunakan perintah berikut untuk mengelola cakupan tim.

gcloud

Membuat daftar cakupan tim

Untuk menampilkan daftar semua cakupan dalam fleet, jalankan perintah berikut:

gcloud container fleet scopes list

Untuk menampilkan daftar semua cakupan yang terkait dengan cluster, jalankan perintah berikut:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Menghapus cluster dari cakupan tim

Untuk menghapus cluster dari cakupan, jalankan perintah berikut:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Menghapus cakupan tim

Untuk menghapus cakupan dari fleet Anda, jalankan perintah berikut:

gcloud container fleet scopes delete SCOPE_NAME

Konsol

Membuat daftar cakupan tim

Untuk melihat semua cakupan dalam fleet, dengan memilih project host fleet, buka bagian Teams di Konsol Google Cloud.

Buka Teams

Halaman Teams menampilkan daftar semua cakupan tim yang dibuat untuk fleet Anda, dan ringkasan penggunaan resource untuk setiap cakupan, termasuk jumlah error dan mulai ulang container.

Melihat detail cakupan tim

Untuk setiap cakupan tim, Anda dapat melihat label yang terkait dengan cakupan tersebut, anggota tim dalam cakupan tersebut, dan log yang terkait dengan cakupan.

  1. Di halaman Teams, klik cakupan tim yang detailnya ingin Anda lihat.
  2. Di tab Tim, Anda dapat melihat label cakupan, jika ada, dan melihat anggota tim yang termasuk dalam cakupan.
  3. Klik tab Log untuk melihat log cakupan fleet.

Menambahkan atau menghapus cluster dalam cakupan tim

Untuk menambahkan atau menghapus cluster dalam cakupan tim yang ada:

  1. Buka halaman Teams di konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim tempat Anda ingin menambahkan atau menghapus cluster. Tab Clusters menampilkan daftar cluster yang saat ini terikat ke cakupan.

Untuk menambahkan cluster ke cakupan tim:

  1. Di bagian atas halaman, klik Add Clusters.
  2. Di drop-down Clusters, pilih cluster yang ingin ditambahkan ke cakupan, lalu klik OK.
  3. Klik Update Team Scope.

Untuk menghapus cluster dari cakupan tim:

  1. Pilih tab Clusters yang menampilkan daftar cluster yang saat ini terikat ke cakupan.
  2. Klik ikon Sampah di samping cluster yang ingin dihapus, lalu klik Hapus untuk mengonfirmasi penghapusan.

Menghapus cakupan

  1. Buka halaman Teams di konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim yang ingin dihapus.

  3. Untuk menghapus cakupan, klik Hapus di bagian atas halaman.

  4. Konfirmasi penghapusan dengan memasukkan nama cakupan, lalu klik Hapus lagi.

Mengelola namespace fleet

gcloud

Gunakan perintah berikut untuk mengelola namespace dalam cakupan tim.

Mencantumkan namespace fleet

Untuk menampilkan daftar semua namespace yang dibuat menggunakan fleet scopes namespaces create dalam cakupan, jalankan perintah berikut:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Menghapus namespace fleet

Untuk menghapus namespace fleet, jalankan perintah berikut:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Perlu diketahui bahwa hal yang terjadi saat Anda menghapus namespace fleet bergantung pada cara Anda menambahkan namespace:

  • Jika Anda membuat namespace fleet baru: Perintah ini akan menghapus namespace fleet. Tindakan ini juga menghapus semua namespace Kubernetes yang dibuat sebagai hasil dari pembuatan namespace fleet, beserta workload-nya.
  • Jika Anda mengaktifkan namespace Kubernetes yang ada: Perintah ini akan menghapus namespace fleet. Namespace asli yang Anda aktivasi tidak dihapus.

Konsol

Untuk mengelola namespace fleet dalam cakupan tim Anda:

  1. Buka halaman Teams di konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim yang namespace fleetnya ingin Anda kelola.

Mencantumkan namespace fleet

Di cakupan tim Anda, pilih tab Namespaces yang menampilkan daftar namespace yang dibuat dalam cakupan ini.

Lihat detail namespace

Untuk setiap namespace fleet, Anda dapat melihat label yang terkait dengan namespace tersebut, serta workload dan log yang difilter menurut namespace.

  1. Pilih tab Namespace yang menampilkan daftar namespace fleet yang dibuat dalam cakupan tim.
  2. Klik namespace fleet yang detailnya ingin Anda lihat.
  3. Di tab Details, Anda dapat melihat namespace fleet dan label cakupan.
    • Guna melihat beban kerja untuk namespace ini, klik Lihat Beban Kerja.
    • Di halaman Workloads, Anda dapat melihat beban kerja yang telah difilter menurut namespace dan cluster yang terkait dengan cakupan tim untuk namespace tersebut.
  4. Di tab Log, Anda dapat melihat log cakupan fleet berdasarkan namespace.

Menambahkan namespace fleet ke cakupan tim

  1. Untuk menambahkan namespace fleet baru, klik Add Namespaces di bagian atas halaman.
  2. Masukkan nama namespace fleet baru, pastikan nama tersebut tidak bertentangan dengan batasan penamaan namespace fleet. Untuk menambahkan namespace lainnya, klik Add Namespace.
  3. Klik Update Team Scope.

Menghapus namespace fleet

  1. Pilih tab Namespace yang menampilkan daftar namespace fleet yang dibuat dalam cakupan tim.
  2. Klik ikon Sampah di samping namespace yang ingin dihapus.
  3. Konfirmasi penghapusan dengan memasukkan nama namespace Anda, lalu klik Delete lagi.

Perlu diperhatikan bahwa proses yang akan terjadi bergantung pada cara Anda menambahkan namespace:

  • Jika Anda membuat namespace fleet baru: Namespace fleet akan dihapus. Setiap namespace Kubernetes yang dibuat sebagai hasil dari pembuatan namespace fleet juga akan dihapus, beserta workload-nya.
  • Jika Anda mengaktifkan namespace Kubernetes yang sudah ada: Namespace fleet akan dihapus. Namun, namespace asli yang Anda aktivasi tidak dihapus.

Memperbarui nama namespace fleet

Anda tidak dapat mengedit namespace fleet setelah dibuat. Jika Anda perlu memperbarui nama namespace fleet, hapus namespace, dan buat yang baru dalam cakupan tim.

Mengelola akses tim

gcloud

Untuk memperbarui akses cakupan tim (misalnya, untuk memberikan peran yang berbeda kepada anggota tim, atau untuk memperbarui alamat email grup), gunakan perintah update yang sesuai:

gcloud container fleet scopes rbacrolebindings update BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --group=TEAM_EMAIL

atau

gcloud alpha container fleet namespaces rbacrolebindings update BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --user=USER_EMAIL

Ganti kode berikut:

  • BINDING_NAME: nama string untuk mewakili binding ini.
  • SCOPE_NAME: ID unik cakupan tim.
  • (opsional) ROLE: peran yang ingin diubah
  • (opsional) TEAM_EMAIL atau USER_EMAIL: alamat email yang ingin Anda ubah.

Konsol

Menambahkan atau menghapus anggota tim

Untuk mengelola anggota tim dalam cakupan tim:

  1. Buka halaman Teams di konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim yang anggotanya ingin Anda kelola.

Untuk menambahkan anggota tim baru ke cakupan:

  1. Di bagian atas halaman, klik Tambahkan Anggota Tim. Ikuti petunjuk yang dijelaskan di bagian Membuat cakupan tim.
  2. Klik Update Team Scope.

Untuk menghapus anggota tim dari cakupan:

  1. Pada tab Tim, klik ikon Sampah di samping anggota tim yang ingin dihapus dari cakupan tim.
  2. Klik Delete untuk mengonfirmasi penghapusan.

Anda tidak dapat mengedit detail anggota tim di Konsol Google Cloud. Untuk memperbarui akses cakupan di konsol Google Cloud (misalnya, untuk memberi anggota tim peran yang berbeda, atau memperbarui alamat email grup), hapus anggota tim dari cakupan, dan tambahkan lagi dengan detail baru.

Mendelegasikan pengelolaan namespace

Biasanya, hanya admin platform yang dapat membuat cakupan tim dan namespace fleet. Namun, sebagai admin platform, Anda mungkin ingin mendelegasikan pembuatan dan/atau pengelolaan namespace kepada admin tim. Hal ini memungkinkan admin tim membuat dan mengelola namespace fleet dalam cakupannya.

Untuk mendelegasikan pengelolaan namespace, buat peran IAM kustom dalam project Anda dengan izin berikut:

gkehub.namespaces.get
gkehub.namespaces.create
gkehub.namespaces.update
gkehub.namespaces.delete
gkehub.namespaces.list

Anda dapat menyesuaikan peran sesuai kebutuhan. Misalnya, jika Anda tidak ingin mengizinkan penghapusan namespace fleet, hapus izin gkehub.namespaces.delete dari peran kustom.

Setelah Anda menentukan peran khusus, gunakan perintah berikut untuk memberikan izin secara eksplisit guna mengelola namespace untuk cakupan tim tertentu:

gcloud container fleet scopes add-iam-policy-binding SCOPE_NAME \
    --member='user:USER_EMAIL' \
    --role='projects/PROJECT_ID/roles/CUSTOM_ROLE_NAME

Hanya pengguna yang diidentifikasi oleh USER_EMAIL yang akan dapat mengelola namespace fleet untuk cakupan tim ini. Pengguna lain akan menerima pesan error.

Pembatasan penamaan namespace perangkat

Nama berikut dicadangkan dan dilarang untuk digunakan saat Anda membuat namespace fleet dalam cakupan tim:

  • default
  • kube-system
  • gke-connect
  • kube-node-lease
  • kube-public
  • istio-system
  • gatekeeper-system
  • asm-system
  • config-management-system

Kelola label

Untuk membantu mengidentifikasi dan mengelola cakupan, Anda dapat menggunakan Google Cloud CLI untuk membuat dan mengelola label untuk namespace fleet dan cakupan tim Anda.

Label yang ditambahkan ke cakupan tim diwarisi oleh semua namespace fleet dalam cakupan, yang berarti label itu melekat pada semua namespace Kubernetes dalam cluster cakupan. Label yang ditambahkan langsung ke namespace fleet hanya akan dilampirkan ke namespace Kubernetes yang sesuai. Jika label cakupan tim dan label namespace fleet memiliki kunci yang sama, label cakupan tim akan lebih diprioritaskan.

Anda dapat mengerjakan beberapa key-value pair sekaligus dengan menambahkan daftar key-value pair yang dipisahkan koma.

Mengelola label namespace fleet

Membuat namespace fleet dengan label

Untuk membuat namespace fleet dengan label, jalankan perintah berikut:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Ganti kode berikut:

  • NAMESPACE_NAME: nama unik yang Anda pilih untuk namespace dalam fleet.
  • SCOPE_NAME: cakupan tim tempat Anda ingin menggunakan namespace.
  • KEY: kunci untuk pasangan nilai kunci label.
  • VALUE: nilai untuk pasangan nilai kunci label.

Menambahkan atau memperbarui label untuk namespace fleet yang ada

Untuk menambahkan atau mengupdate label untuk namespace yang ada, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Menghapus label namespace fleet

Untuk menghapus label namespace fleet tertentu, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Ganti KEY dengan daftar kunci yang dipisahkan koma untuk label yang ingin Anda hapus.

Untuk menghapus semua label namespace fleet, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Mengelola label cakupan tim

Membuat cakupan tim dengan label

Untuk membuat cakupan dengan label, jalankan perintah berikut:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Ganti kode berikut:

  • SCOPE_NAME: nama pengidentifikasi unik yang telah Anda pilih untuk cakupan tim baru.
  • KEY: kunci untuk pasangan nilai kunci label.
  • VALUE: nilai untuk pasangan nilai kunci label.

Menambahkan atau memperbarui label untuk cakupan tim yang sudah ada

Untuk menambahkan atau memperbarui label untuk cakupan yang ada, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Menghapus label cakupan tim

Untuk menghapus label tertentu, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Ganti KEY dengan daftar kunci yang dipisahkan koma untuk label yang ingin Anda hapus.

Untuk menghapus semua label, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Memecahkan masalah

Jika Anda tidak dapat mengupdate atau membuat resource pengelolaan tim fleet, pastikan GKE Enterprise API diaktifkan. Jika Anda menonaktifkan GKE Enterprise API di project host fleet Anda setelah mengonfigurasi pengelolaan tim fleet, hal berikut akan terjadi:

  • Setiap cakupan tim dan namespace fleet yang telah Anda buat akan terus berfungsi seperti yang diharapkan, tetapi tidak dapat diupdate.
  • Cakupan tim dan namespace fleet yang ada dapat dihapus.
  • Tidak ada cakupan tim dan namespace fleet baru yang dapat dibuat.

Apa langkah selanjutnya?