Se usó la API de Cloud Translation para traducir esta página.

Configura equipos para tu flota

Esta página está destinada a los administradores de la plataforma que deseen configurar y administrar el uso de la flota para un equipo. Las funciones de administración de equipos de flotas solo están disponibles para los usuarios que habilitaron GKE Enterprise.

Antes de leer esta página, asegúrate de estar familiarizado con la administración de equipos de flotas.

Descripción general de la configuración del equipo

Puedes configurar equipos con Google Cloud CLI, la consola de Google Cloud o Terraform.

El procedimiento general para configurar un equipo es el siguiente:

Selecciona o crea la flota en la que deseas configurar el acceso de los equipos y asegúrate de tener los permisos y las APIs correctos para completar la configuración.
(Opcional, pero recomendado) Configura el control de acceso de Grupos de Google en los clústeres de tu flota.
Decide qué usuarios conforman el equipo. Un equipo puede incluir Grupos de Google (recomendado) o cuentas individuales.
Elige el nivel de acceso a la flota y los recursos del equipo que deseas para cada miembro del equipo.
Crea un permiso de equipo para el equipo.
Agrega uno o más (o todos) clústeres de miembros de la flota al permiso del equipo.
Define espacios de nombres a nivel de la flota y asócialos con el permiso del equipo.
(Opcional) Usa el Sincronizador de configuración para sincronizar recursos de Kubernetes con espacios de nombres y permisos de equipo.

Luego, el equipo puede obtener credenciales para acceder a sus clústeres con Connect Gateway.

Configura la CLI de Google Cloud

Incluso si creas permisos de equipo con la consola de Google Cloud, es posible que debas configurar gcloud CLI para completar algunos requisitos previos mientras configuras tu flota, como habilitar las APIs requeridas.

Asegúrate de tener la versión más reciente de Google Cloud CLI, incluido el componente alfa de Google Cloud CLI. Necesitas al menos la versión 419.0.0 para usar los comandos de administración de equipos de flotas.
Ejecuta el siguiente comando para acceder a Google Cloud:
```
gcloud auth login
```
Inicializa la CLI de gcloud para usarla con el proyecto host de la flota que elegiste o ejecuta el siguiente comando a fin de configurar el proyecto host de la flota como el predeterminado:
```
gcloud config set project PROJECT_ID
```
Puedes usar la marca --project con cualquiera de los siguientes comandos para especificar un proyecto host de flota diferente, si es necesario.

Configura tu flota

Selecciona o crea la flota en la que deseas configurar un equipo nuevo. Para obtener lineamientos y ejemplos que te ayuden a estructurar tus flotas, consulta Ejemplos de flotas y las otras guías en Planifica tu flota.

Si deseas crear una flota con nombre nueva en un proyecto que aún no tiene una, ejecuta el siguiente comando (primero deberás configurar Google Cloud CLI)

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Si no especificas un display-name, la flota nueva se creará con un nombre visible predeterminado según el nombre del proyecto host de la flota.

Roles de IAM obligatorios

Si no tienes roles/owner en el proyecto host de la flota, necesitas roles/gkehub.admin para crear y configurar los permisos y los espacios de nombres de los equipos. El propietario de un proyecto puede otorgar este rol con el siguiente comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Habilita las APIs

Asegúrate de que el proyecto host de tu flota tenga habilitadas todas las APIs necesarias, incluida la API de GKE Enterprise:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Si inhabilitas la API de GKE Enterprise después de configurar la administración de equipos de flotas, algunos aspectos de la función seguirán funcionando, pero no podrás actualizar ni crear permisos de equipo ni espacios de nombres de flotas.

Configura los clústeres para el control de acceso con Grupos de Google.

Si bien puedes configurar el acceso de un equipo mediante el RBAC a los clústeres de miembros de la flota por usuario sin ninguna configuración adicional del clúster, te recomendamos que otorgues a los miembros del equipo acceso a los clústeres en función de su membresía en un Grupo de Google del equipo. La autorización basada en la membresía del grupo significa que no tienes que configurar una autorización distinta para cada cuenta, lo que simplifica la administración de las políticas y facilita su auditoría, y elimina la necesidad de agregar o quitar manualmente usuarios individuales de los clústeres cuando se unen al equipo o salen de él. Usa las siguientes guías para asegurarte de que los clústeres que deseas asignar a los permisos de equipo puedan usar Grupos de Google con Connect Gateway para el control de acceso:

Para clústeres de GKE en Google Cloud, sigue las instrucciones que se indican en Configura Grupos de Google para RBAC.
Para los clústeres de miembros de la flota fuera de Google Cloud, sigue las instrucciones en Configura la puerta de enlace de Connect con Grupos de Google.

Configurar un nuevo equipo

En las siguientes instrucciones, se muestra cómo crear un nuevo permiso de equipo.

Elige los permisos de acceso del equipo

Primero, decide o descubre qué usuarios conforman tu equipo. Una parte importante de la configuración de equipos es otorgarles acceso a la flota, incluida la capacidad de ver clústeres en la consola de Google Cloud y ver registros en todo el permiso de equipo. Según el rol del miembro del equipo, es posible que también quieras delegar la capacidad de crear espacios de nombres dentro del permiso de su equipo (disponible en gkehub.ScopeAdmin o gkehub.ScopeEditor) o permitir que actualice las vinculaciones de roles de RBAC (solo gkehub.ScopeAdmin). Para simplificar esta configuración, la administración de equipos de flotas proporciona tres arquetipos de permisos personalizados para elegir, que incluyen un conjunto completo de permisos de RBAC de IAM y Kubernetes que un administrador, editor o visualizador del permiso de un equipo podría necesitar cuando trabaja con su permiso. Luego, puedes asignar estos arquetipos a los miembros del equipo cuando lo configures, como se describe en la siguiente sección.

En la siguiente tabla, se muestra qué permisos de cada tipo se otorgan a cada arquetipo:

Descripción	Tipo	Arquetipo de administrador de permisos	Arquetipo de Editor de permisos	Arquetipo de Visualizador de permisos
Acceso al permiso del equipo y a sus espacios de nombres	Vinculación de IAM en el permiso del equipo	roles/gkehub.ScopeAdmin	roles/gkehub.ScopeEditor	roles/gkehub.ScopeViewer
Acceso al proyecto host de la flota, incluidas las métricas, las operaciones de larga duración y la puerta de enlace de Connect	Vinculación de IAM en el proyecto host de la flota	roles/gkehub.ScopeEditorProjectLevel	roles/gkehub.ScopeEditorProjectLevel	roles/gkehub.ScopeViewerProjectLevel
Acceso al bucket de registros del permiso del equipo	Vinculación de IAM en el proyecto host de la flota (con la condición de que el recurso al que se accede sea el nombre del bucket)	roles/logging.viewAccessor	roles/logging.viewAccessor	roles/logging.viewAccessor
Acceso a los recursos de Kubernetes dentro de los clústeres del permiso	Vinculación de RBAC en el permiso que se aplica a los espacios de nombres del permiso de equipo.	Rol predeterminado de Kubernetes: administrador	Rol predeterminado de Kubernetes: edición	Rol predeterminado de Kubernetes: vista

Como se mencionó en la sección anterior, te recomendamos que otorgues a los miembros del equipo acceso a sus recursos en función de su membresía en Grupos de Google, aunque la administración de equipos también te permite otorgar acceso a usuarios individuales.

Si estos arquetipos no satisfacen completamente tus necesidades, también puedes vincular roles de IAM (con gcloud container fleet scopes add-iam-policy-binding) y RBAC (con gcloud container fleet scopes rbacrolebindings create) de forma individual. Consulta la documentación de referencia de Google Cloud CLI para obtener más comandos que puedes usar para administrar estas vinculaciones.

Configura un permiso de equipo

gcloud

Crea un permiso para el equipo

Para crear un nuevo permiso de equipo en una flota, ejecuta el siguiente comando, en el que SCOPE_NAME es el nombre de identificación único que elegiste para tu permiso nuevo:

gcloud container fleet scopes create SCOPE_NAME

Agrega clústeres al permiso de equipo

Solo se pueden agregar miembros de flota existentes a los permisos de equipo. En estas instrucciones, se da por sentado que el clúster que deseas agregar al permiso ya es miembro de la flota. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para el tipo de clúster en Crea tu flota para registrarlo. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, como se describió antes.

Un clúster miembro de la flota se puede agregar a cualquier cantidad de permisos de equipo en su proyecto host de flota.

Para agregar un clúster a un permiso de equipo, ejecuta el siguiente comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Reemplaza lo siguiente:

BINDING_NAME: Es un nombre que representa la relación entre el clúster y el permiso del equipo. Te sugerimos que uses MEMBERSHIP_NAME-SCOPE_NAME.
MEMBERSHIP_NAME: El identificador único del clúster dentro de la flota (por lo general, el nombre del clúster).
MEMBERSHIP_LOCATION (opcional): Es la ubicación de membresía del clúster. Si lo omites, el valor será global, que es el valor predeterminado para los registros de clústeres.

Crea espacios de nombres de flota

Para crear un espacio de nombres en el permiso de un equipo, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Reemplaza lo siguiente:

NAMESPACE_NAME: Es el nombre único que elegiste para el espacio de nombres dentro de la flota. Asegúrate de que NAMESPACE_NAME no entre en conflicto con las restricciones de nombres de espacio de nombres de flota.
SCOPE_NAME: el permiso del equipo en el que deseas usar el espacio de nombres.

Este comando crea un espacio de nombres de Kubernetes llamado NAMESPACE_NAME en cada clúster del permiso del equipo. Los miembros del equipo pueden usar NAMESPACE_NAME como cualquier otro espacio de nombres de Kubernetes después de que les otorgues acceso a su permiso. Si ya tienes un espacio de nombres de Kubernetes existente llamado NAMESPACE_NAME en el permiso del equipo, se considera parte del nuevo espacio de nombres de la flota. A veces, se hace referencia a esto como integración del espacio de nombres.

Otorga acceso a los miembros del equipo al permiso del equipo

A continuación, asegúrate de que los Grupos de Google relevantes tengan los permisos de IAM y RBAC adecuados configurados para funcionar con el nuevo permiso:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID

En el ejemplo anterior, PROJECT_ID es el ID del proyecto host de la flota.
TEAM_EMAIL es la dirección de correo electrónico del Grupo de Google de un equipo.
SCOPE_ID es el ID del permiso que se creó.
ROLE es el arquetipo de permiso que tiene el grupo en el permiso del equipo. Los valores de este parámetro pueden ser admin (administrador de permiso), edit (editor de permiso) o view (visualizador de permiso).

Si necesitas otorgar acceso al permiso a un usuario individual, ejecuta el siguiente comando, en el que USER_EMAIL es la dirección de correo electrónico del ID de Google del usuario:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Console

Crea un permiso para el equipo

Con el proyecto host de flota seleccionado, ve a la sección Equipos en la consola de Google Cloud.

Ve a Equipos
En la parte superior de la página, haz clic en Crear permiso de equipo.
En la página Conceptos básicos del equipo, en Nombre, ingresa un nombre único para el permiso de tu equipo. No podrás cambiar este nombre una vez que se cree el permiso del equipo.
Para agregar miembros del equipo al permiso, haz clic en Agregar miembro del equipo.
- En Tipo, selecciona Usuario para agregar un miembro del equipo individual o Grupo para agregar un Grupo de Google (recomendado).
- En Usuario o grupo, escribe la dirección de correo electrónico del miembro del equipo o del grupo.
- En Rol, selecciona Administrador de permisos, Editor de permisos o Visualizador de permisos, que configuran varias vinculaciones de IAM y RBAC en el permiso y la flota, como se describe en Elige los permisos de acceso del equipo.
Para crear el permiso del equipo sin agregar clústeres ni espacios de nombres en esta etapa, haz clic en Crear permiso del equipo. De lo contrario, continúa con la siguiente sección para agregar clústeres al permiso.

Agrega clústeres al permiso del equipo

Para asociar un clúster con un permiso de equipo, este debe ser miembro de una flota existente. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para el tipo de clúster en Crea tu flota para registrarlo. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, como se describió antes.

Un clúster miembro de la flota se puede agregar a cualquier cantidad de permisos de equipo en su proyecto host de flota, lo que permite que diferentes equipos ejecuten cargas de trabajo en el mismo clúster.

En la página Conceptos básicos del equipo, después de agregar miembros del equipo a tu permiso, haz clic en Continuar.
En la página Clústeres, puedes seleccionar los clústeres de la flota que deseas asociar con este permiso del equipo. En el menú desplegable Clústeres, marca los clústeres que deseas agregar y haz clic en Aceptar.

Crea espacios de nombres de flota

Los miembros del equipo pueden usar los espacios de nombres de flotas como cualquier otro espacio de nombres de Kubernetes. Cuando creas un espacio de nombres de flota, se crea un espacio de nombres de Kubernetes correspondiente en todos los clústeres del permiso del equipo, si aún no existe.

En la página Clústeres, después de agregar clústeres al permiso de tu equipo, haz clic en Continuar.
En la página Espacios de nombres, haz clic en Agregar espacio de nombres.
- En Nombre, ingresa un nombre único para el espacio de nombres dentro de la flota o el nombre de un espacio de nombres existente si deseas incorporarlo. Asegúrate de que el nombre no entre en conflicto con las restricciones de nombres de espacios de nombres de flota.
Para agregar más espacios de nombres de flota al permiso, repite el paso anterior.
Para crear el permiso de equipo, haz clic en Crear permiso de equipo. Una vez que se cree el permiso del equipo, podrás ver y editar el permiso del equipo si es necesario. Para ello, haz clic en su nombre en la sección Equipos.

Terraform

En esta sección, se muestra cómo configurar un equipo nuevo con Terraform. Para obtener más información y otros ejemplos, consulta la documentación de referencia de los siguientes recursos:

Crea un permiso para el equipo

Para crear un permiso de equipo, puedes usar el siguiente bloque en la configuración de Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Reemplaza lo siguiente:

TF_SCOPE_RESOURCE_NAME: el nombre que elijas para identificar de manera inequívoca el recurso google_gke_hub_scope de Terraform que creó este bloque.
SCOPE_NAME: Es un nombre de identificación único para el permiso de tu equipo.

Agrega clústeres al permiso

Solo se pueden agregar miembros de flota existentes a los permisos de equipo. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para el tipo de clúster en Crea tu flota para registrarlo. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, como se describió antes.

Para agregar un clúster a un permiso de equipo, usa el siguiente bloque en tu configuración:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Reemplaza lo siguiente:

TF_MEMBERSHIP_BINDING_RESOURCE_NAME: Un nombre para identificar el recurso google_gke_hub_membership_binding que creó este bloque.
BINDING_NAME: Es un nombre que representa la relación entre el clúster y el permiso. Te sugerimos que uses MEMBERSHIP_NAME-SCOPE_NAME.
SCOPE_NAME: Es el nombre del permiso de tu equipo.
MEMBERSHIP_NAME: El identificador único del clúster dentro de la flota (por lo general, el nombre del clúster).
MEMBERSHIP_LOCATION: Es la ubicación de la membresía del clúster.

Crea espacios de nombres de flota

Los miembros del equipo pueden usar los espacios de nombres de flotas como cualquier otro espacio de nombres de Kubernetes. Puedes crear un espacio de nombres nuevo o incorporar uno existente. Cuando creas un espacio de nombres de flota, se crea un espacio de nombres de Kubernetes correspondiente en todos los clústeres del permiso del equipo, si aún no existe.

Para crear un espacio de nombres de flota, usa el siguiente bloque en tu configuración:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Reemplaza lo siguiente:

TF_NAMESPACE_RESOURCE_NAME: Un nombre para identificar el recurso google_gke_hub_namespace que creó este bloque.
NAMESPACE_NAME: Es un nombre único que elegiste para el espacio de nombres de la flota. Asegúrate de que este nombre no entre en conflicto con las restricciones de nombres de espacio de nombres de flota.
SCOPE_NAME: el nombre del permiso del equipo en el que se crea el espacio de nombres de la flota.

Otorga acceso de nivel

Como se describió en la sección anterior, se puede otorgar acceso a su permiso a los miembros del equipo mediante arquetipos de permisos que incluyan permisos de IAM y RBAC. Por ejemplo, esta es una configuración para otorgar acceso a un usuario individual a un permiso de equipo:

  module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
    source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

    scope_id = "SCOPE_NAME"
    user = "USER_EMAIL"
    role = "ROLE"
  }

Reemplaza lo siguiente:

TF_SCOPE_RESOURCE_NAME: Es el nombre del permiso.
BINDING_NAME: Es un nombre para representar esta vinculación.
SCOPE_NAME: Es el nombre del permiso del equipo.
USER_EMAIL: la dirección de correo electrónico del usuario.
ROLE: El arquetipo que deseas otorgar al usuario, que puede ser ADMIN, EDIT o VIEW.

Para otorgar acceso a un Grupo de Google a un permiso de equipo, usa group en lugar de user en la configuración anterior y usa la dirección de correo electrónico del Grupo de Google del equipo.

Accede a los espacios de nombres de la flota

Una vez que se complete la configuración, los miembros del equipo podrán acceder a los espacios de nombres de su permiso si obtienen las credenciales de clúster relevantes. Para obtener credenciales para un clúster miembro de la flota mediante la puerta de enlace de Connect, ejecuta el siguiente comando, en el que MEMBERSHIP_NAME es el nombre de la membresía de la flota del clúster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Para obtener más detalles, consulta Cómo usar Connect Gateway.

Administra permisos de equipo

Usa los siguientes comandos para administrar los permisos de los equipos.

gcloud

Enumera los permisos del equipo

Para enumerar todos los permisos de una flota, ejecuta el siguiente comando:

gcloud container fleet scopes list

Para enumerar todos los permisos asociados con un clúster, ejecuta el siguiente comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Quita clústeres de los permisos del equipo

Para quitar un clúster de un permiso, ejecuta el siguiente comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Borra un permiso de equipo

Para borrar un permiso de tu flota, ejecuta el siguiente comando:

gcloud container fleet scopes delete SCOPE_NAME

Console

Enumera los permisos del equipo

Para ver todos los permisos de una flota, con el proyecto host de la flota seleccionado, ve a la sección Equipos en la consola de Google Cloud.

Ve a Equipos

En la página Equipos, se muestra una lista de todos los permisos del equipo creados para tu flota. Para cada permiso, puedes ver un resumen de su uso de recursos durante el período especificado, así como su costo mensual estimado, la cantidad de errores y la cantidad de reinicios de contenedores.

Para ver métricas de uso relacionadas con el costo más detalladas, haz clic en Optimización de costos.

Visualiza los detalles del permiso del equipo

Para cada permiso del equipo, puedes ver detalles, como las etiquetas asociadas con ese permiso, los miembros del equipo y los registros centrados en el equipo.

En la página Equipos, haz clic en el permiso del equipo cuyos detalles deseas ver.
En la pestaña Equipo, puedes ver las etiquetas de permiso, si las hay, y los miembros del equipo.
Haz clic en la pestaña Supervisión para ver las métricas de uso de recursos del equipo.
Haz clic en la pestaña Clústeres para ver los clústeres del permiso del equipo.
Haz clic en la pestaña Espacios de nombre para ver los espacios de nombres de la flota en este permiso del equipo.
Haz clic en la pestaña Registros para ver los registros del permiso del equipo.

Agrega o quita clústeres en un permiso de equipo

Para agregar o borrar clústeres en un permiso de equipo existente, sigue estos pasos:

Ve a la página de Equipos en la consola de Google Cloud.

Ve a Equipos
Selecciona el permiso del equipo en el que deseas agregar o borrar clústeres. En la pestaña Clústeres, se muestra una lista de los clústeres vinculados actualmente al permiso.

Para agregar clústeres a un permiso de equipo, sigue estos pasos:

En la parte superior de la página, haz clic en Agregar clústeres.
En el menú desplegable Clústeres, selecciona los clústeres que deseas agregar al permiso y haz clic en Aceptar.
Haz clic en Actualizar permiso del equipo.

Para borrar clústeres de un permiso del equipo, sigue estos pasos:

Selecciona la pestaña Clústeres, que muestra una lista de los clústeres vinculados actualmente al permiso.
Haz clic en el ícono de papelera junto al clúster que deseas borrar y, luego, en Quitar para confirmar la eliminación.

Borra un permiso

Ve a la página de Equipos en la consola de Google Cloud.

Ve a Equipos
Selecciona el permiso del equipo que deseas borrar.
Para borrar el permiso, haz clic en Borrar en la parte superior de la página.
Para confirmar la eliminación, ingresa el nombre de tu permiso y vuelve a hacer clic en Borrar.

Administra los espacios de nombres de la flota

gcloud

Usa los siguientes comandos para administrar espacios de nombres dentro de los permisos de equipo.

Enumera los espacios de nombres de la flota

Para enumerar todos los espacios de nombres creados con fleet scopes namespaces create en un permiso, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Borra un espacio de nombres de flota

Para borrar el espacio de nombres de una flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Ten en cuenta que lo que sucede cuando borras un espacio de nombres de flota depende de cómo lo hayas agregado:

Si creaste un espacio de nombres de flota nuevo: Este comando borra el espacio de nombres de flota. También borra cualquier espacio de nombres de Kubernetes creado como resultado de la creación del espacio de nombres de flota, junto con sus cargas de trabajo.
Si integraste un espacio de nombres de Kubernetes existente: Este comando borra el espacio de nombres de la flota. El espacio de nombres original que incorporaste no se borra.

Console

Para administrar los espacios de nombres de la flota en el permiso de tu equipo, haz lo siguiente:

Ve a la página de Equipos en la consola de Google Cloud.

Ve a Equipos
Selecciona el permiso del equipo cuyos espacios de nombres de flota deseas administrar.

Enumera los espacios de nombres de la flota

En el permiso de tu equipo, selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres creados en este permiso.

Consulta los detalles del espacio de nombres

Para cada espacio de nombres de la flota, puedes ver las etiquetas asociadas con ese espacio de nombres, así como las cargas de trabajo y los registros filtrados por espacio de nombres.

Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el permiso del equipo.
Haz clic en el espacio de nombres de la flota cuyos detalles deseas ver.
En la pestaña Detalles, puedes ver el espacio de nombres de la flota y las etiquetas de permiso.
- Para ver las cargas de trabajo de este espacio de nombres, haz clic en Ver cargas de trabajo.
- En la página Cargas de trabajo, puedes ver las cargas de trabajo que ya se filtraron por el espacio de nombres y los clústeres asociados con el permiso del equipo para ese espacio de nombres.
En la pestaña Registros, puedes ver los registros de permiso de la flota por espacio de nombres.

Agrega espacios de nombres de flota a un permiso de equipo

Para agregar un nuevo espacio de nombres de flota, haz clic en Agregar espacios de nombres en la parte superior de la página.
Ingresa el nombre del nuevo espacio de nombres de la flota y asegúrate de que no entre en conflicto con las restricciones de nombres de espacios de nombres de flota. Para agregar más espacios de nombres, haz clic en Agregar espacio de nombres.
Haz clic en Actualizar permiso del equipo.

Borra un espacio de nombres de flota

Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el permiso del equipo.
Haz clic en el ícono de papelera junto al espacio de nombres que quieres borrar.
Para confirmar la eliminación, ingresa el nombre de tu espacio de nombres y vuelve a hacer clic en Borrar.

Ten en cuenta que lo que sucede cuando haces esto depende de cómo hayas agregado el espacio de nombres:

Si creaste un espacio de nombres de flota nuevo: Se borrará el espacio de nombres de flota. Cualquier espacio de nombres de Kubernetes creado como resultado de la creación del espacio de nombres de la flota también se borra, junto con sus cargas de trabajo.
Si integraste un espacio de nombres de Kubernetes existente: Se borrará el espacio de nombres de la flota. Sin embargo, no se borra el espacio de nombres original que incorporaste.

Actualiza el nombre de un espacio de nombres de flota

No puedes editar el espacio de nombres de una flota una vez que se creó. Si necesitas actualizar el nombre de un espacio de nombres de flota, bórralo y crea uno nuevo en el permiso del equipo.

Administra el acceso del equipo

gcloud

Enumera miembros del equipo

Para enumerar a todos los miembros del equipo a los que se les otorgó acceso al permiso del equipo con el comando add-app-operator-binding, junto con sus arquetipos de permisos, usa el siguiente comando:

gcloud beta container fleet scopes list-app-operator-bindings SCOPE_NAME

Reemplaza lo siguiente:

SCOPE_NAME: Es el identificador único del permiso del equipo.

Quita miembros del equipo

Para quitar el acceso de permiso de un miembro del equipo (otorgado con add-app-operator-binding), usa el siguiente comando:

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Reemplaza lo siguiente:

SCOPE_NAME: Es el identificador único del permiso del equipo.
TEAM_EMAIL o USER_EMAIL: Es la dirección de correo electrónico del grupo o usuario que quieres quitar del equipo.

Si se le otorgó acceso al miembro del equipo con el comando rbacrolebindings create, usa el comando rbacrolebindings delete para quitarlo.

Actualiza el acceso de permiso del equipo

Para actualizar el acceso del permiso del equipo (por ejemplo, para otorgarles un rol diferente a los miembros del equipo o para actualizar una dirección de correo electrónico de grupo), quítalo del permiso como se describe en la sección anterior y, luego, vuelve a otorgarle acceso con sus nuevos detalles.

Si se le otorgó acceso al miembro del equipo con el comando rbacrolebindings create, puedes usar el comando rbacrolebindings update para actualizar su acceso.

Console

Agrega o quita miembros de equipos

Para administrar los miembros de un equipo en un permiso de equipo, haz lo siguiente:

Ve a la página de Equipos en la consola de Google Cloud.

Ve a Equipos
Selecciona el permiso del equipo cuyos miembros deseas administrar.

Para agregar nuevos miembros del equipo al permiso, haz lo siguiente:

En la parte superior de la página, haz clic en Agregar miembros del equipo. Sigue las instrucciones que se detallan en la sección Crea un permiso de equipo.
Haz clic en Actualizar permiso del equipo.

Para quitar miembros del equipo del permiso, haz lo siguiente:

En la pestaña Equipo, haz clic en el ícono de papelera junto al miembro del equipo que quieres quitar del permiso del equipo.
Haz clic en Borrar para confirmar esta acción.

No puedes editar los detalles de un miembro del equipo en la consola de Google Cloud. Para actualizar el acceso de permiso en la consola de Google Cloud (por ejemplo, para otorgarles a los miembros del equipo un rol diferente o actualizar una dirección de correo electrónico de grupo), quítalo del permiso y vuelve a agregarlo con los detalles nuevos.

Restricciones de nombres de espacios de nombres de flotas

Los siguientes nombres están reservados y no se pueden usar cuando creas un espacio de nombres de flota en el permiso de un equipo:

default
kube-system
gke-connect
kube-node-lease
kube-public
istio-system
gatekeeper-system
asm-system
config-management-system

Administrar etiquetas

Para ayudarte a identificar y administrar tus permisos, puedes usar Google Cloud CLI para crear y administrar etiquetas para los espacios de nombres de tu flota y los permisos de equipo.

Todos los espacios de nombres de la flota del permiso de equipo heredan las etiquetas que se agregan a él, lo que significa que se adjuntan a todos los espacios de nombres de Kubernetes en los clústeres del permiso. Las etiquetas que se agregan directamente a un espacio de nombres de flota solo se adjuntan a sus espacios de nombres de Kubernetes correspondientes. Si una etiqueta de permiso de equipo y una etiqueta de espacio de nombres de la flota tienen la misma clave, la etiqueta de permiso de equipo tiene prioridad.

Para trabajar en varios pares clave-valor a la vez, agrega una lista de pares clave-valor separados por comas.

Administra etiquetas de espacio de nombres de la flota

Crea un espacio de nombres de flota con etiquetas

Para crear un espacio de nombres de flota con etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Reemplaza lo siguiente:

NAMESPACE_NAME: Es el nombre único que elegiste para el espacio de nombres dentro de la flota.
SCOPE_NAME: el permiso del equipo en el que deseas usar el espacio de nombres.
KEY: La clave para el par clave-valor de la etiqueta
VALUE: El valor para el par clave-valor de la etiqueta

Agrega o actualiza etiquetas para los espacios de nombres de flota existentes

Para agregar o actualizar etiquetas de un espacio de nombres existente, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Borra etiquetas de espacio de nombres de flota

Para borrar una etiqueta de espacio de nombres de flota específica, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Reemplaza KEY por una lista separada por comas de las claves de las etiquetas que deseas quitar.

Para borrar todas las etiquetas del espacio de nombres de la flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Administra etiquetas de permiso de equipo

Crea un permiso para el equipo con etiquetas

Para crear un permiso con una etiqueta, ejecuta el siguiente comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Reemplaza lo siguiente:

SCOPE_NAME: Es el nombre de identificación único que elegiste para el nuevo permiso del equipo.
KEY: La clave para el par clave-valor de la etiqueta
VALUE: El valor para el par clave-valor de la etiqueta

Agrega o actualiza etiquetas para los permisos de equipo existentes

Para agregar o actualizar etiquetas de un permiso existente, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Borra etiquetas de permiso de equipo

Para borrar etiquetas específicas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Reemplaza KEY por una lista separada por comas de las claves de las etiquetas que deseas quitar.

Para borrar todas las etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Solucionar problemas

Si no puedes actualizar ni crear recursos de administración de equipos de flotas, asegúrate de que la API de GKE Enterprise esté habilitada. Si inhabilitas la API de GKE Enterprise en tu proyecto host de flota después de configurar la administración de equipos de flotas, ocurrirá lo siguiente:

Los permisos de equipo y los espacios de nombres de flotas que hayas creado seguirán funcionando como se espera, pero no se podrán actualizar.
Se pueden borrar los permisos de equipo y los espacios de nombres de flota existentes.
No se pueden crear nuevos espacios de nombres de flota ni permisos de equipo.

Próximos pasos

Obtén información para ver las métricas a nivel del equipo y otra información específica del equipo en Usa la descripción general del equipo.
Obtén información para usar el Sincronizador de configuración para sincronizar recursos de Kubernetes con espacios de nombres y permisos de equipo.