Configura equipos para tu flota

Esta página está destinada a los administradores de la plataforma que desean configurar y administrar el uso de la flota para un equipo. Las funciones de administración de equipos de flotas solo están disponibles para los usuarios que habilitaron GKE Enterprise.

En esta página, se supone que ya leíste nuestra descripción general de la Administración de equipos de flotas.

Descripción general de la configuración del equipo

Puedes configurar equipos mediante Google Cloud CLI, la consola de Google Cloud o Terraform.

El procedimiento general para configurar un equipo es el siguiente:

Selecciona o crea la flota en la que deseas configurar el acceso del equipo y asegúrate de tener los permisos y las APIs correctos para completar la configuración.
Configura el control de acceso para Grupos de Google en los clústeres de tu flota (opcional, pero recomendado).
Decide qué usuarios conforman el equipo y asegúrate de tener acceso a la flota. Un equipo puede incluir Grupos de Google (recomendado) o cuentas individuales.
Crea un permiso de equipo para el equipo.
Agrega uno o más clústeres miembros de la flota (o todos) al permiso del equipo.
Define los espacios de nombres a nivel de la flota y asócialos al permiso del equipo.
Otorga a los miembros del equipo acceso a su nuevo permiso mediante un recurso RBACRoleBinding.
Usa el Sincronizador de configuración para sincronizar los recursos de Kubernetes con los permisos y los espacios de nombres del equipo (opcional).

Luego, el equipo puede obtener credenciales para acceder a sus clústeres con la puerta de enlace de Connect.

Configura la CLI de Google Cloud

Incluso si creas permisos de equipo con la consola de Google Cloud, es posible que debas configurar la CLI de gcloud para completar algunos requisitos previos mientras configuras tu flota, como habilitar las APIs obligatorias.

Asegúrate de tener la última versión de Google Cloud CLI, incluido el componente alfa de Google Cloud CLI. Necesitas al menos la versión 419.0.0 para usar los comandos de administración de equipos de flotas.
Ejecuta el siguiente comando para acceder a Google Cloud:
```
gcloud auth login
```
Inicializa la CLI de gcloud para usarla con el proyecto host de la flota que elegiste o ejecuta el siguiente comando a fin de configurar el proyecto host de la flota como el predeterminado:
```
gcloud config set project PROJECT_ID
```
Puedes usar la marca --project con cualquiera de los siguientes comandos para especificar un proyecto host de flota diferente, si es necesario.

Configura tu flota

Selecciona o crea la flota en la que deseas configurar un equipo nuevo. Para obtener lineamientos y ejemplos que te ayuden a estructurar las flotas, consulta Ejemplos de flotas y las otras guías en Planifica tu flota.

Si deseas crear una flota con nombre nueva en un proyecto que aún no tiene una, ejecuta el siguiente comando (primero deberás configurar Google Cloud CLI)

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Si no especificas un display-name, la flota nueva se crea con un nombre visible predeterminado según el nombre del proyecto host de la flota.

Roles de IAM obligatorios

Si no tienes roles/owner en el proyecto host de la flota, necesitas roles/gkehub.admin para crear y configurar permisos y espacios de nombres del equipo. El propietario de un proyecto puede otorgar este rol con el siguiente comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Habilita las APIs

Asegúrate de que el proyecto host de tu flota tenga todas las APIs necesarias habilitadas, incluida la API de GKE Enterprise:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Si inhabilitas la API de GKE Enterprise después de configurar la administración de equipos de flota, algunos aspectos de la función seguirán funcionando, pero no podrás actualizar ni crear permisos de equipo ni espacios de nombres de flota.

Configura los clústeres para el control de acceso con Grupos de Google.

Si bien puedes configurar el acceso de un equipo mediante RBAC a los clústeres miembros de la flota por usuario sin ninguna configuración de clúster adicional, recomendamos que los miembros del equipo accedan a los clústeres según su pertenencia a un Grupo de Google en el equipo. La autorización basada en la membresía del grupo significa que no tienes que configurar una autorización distinta para cada cuenta, lo que simplifica la administración de las políticas y facilita su auditoría, y elimina la necesidad de agregar o quitar manualmente usuarios individuales de los clústeres cuando se unen al equipo o salen de él. Usa las siguientes guías para asegurarte de que los clústeres que deseas asignar a los permisos del equipo puedan usar Grupos de Google con la puerta de enlace de Connect para el control de acceso:

Para los clústeres de GKE en Google Cloud, sigue las instrucciones en Configura Grupos de Google para RBAC.
Para los clústeres miembros de la flota fuera de Google Cloud, sigue las instrucciones en Configura la puerta de enlace de Connect con Grupos de Google.

Otorga a los miembros del equipo acceso a la flota

A continuación, decide o descubre qué usuarios conforman el equipo y asegúrate de que tengan acceso a la flota. Como mencionamos en la sección anterior, te recomendamos que les otorgues a los miembros del equipo acceso a sus recursos según la pertenencia a un Grupo de Google, aunque la administración del equipo también te permite otorgar acceso a usuarios individuales. Asegúrate de que los Grupos de Google o las personas relevantes tengan los roles de Identity and Access Management (IAM) adecuadas para funcionar con clústeres de flota:

gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=group:TEAM_EMAIL \
   --role=roles/gkehub.viewer

gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=group:TEAM_EMAIL \
   --role=roles/gkehub.gatewayEditor

En el ejemplo anterior, PROJECT_ID es el ID del proyecto host de la flota.
TEAM_EMAIL es la dirección de correo electrónico del grupo de Google de un equipo.

Estos comandos permiten que los miembros del equipo vean todos los clústeres de la flota en la consola de Google Cloud y (solo para Grupos de Google) usen la puerta de enlace de Connect para acceder a los clústeres miembros de la flota con autorización basada en Grupos de Google.

Configurar un nuevo equipo

En las siguientes instrucciones, se muestra cómo crear un permiso de equipo nuevo para un equipo.

gcloud

Crea un permiso para el equipo

Para crear un nuevo permiso de equipo en una flota, ejecuta el siguiente comando, en el que SCOPE_NAME es el nombre de identificación único que elegiste para tu permiso nuevo:

gcloud container fleet scopes create SCOPE_NAME

Agrega clústeres a un permiso de equipo

Solo se pueden agregar miembros existentes de la flota a los permisos del equipo. En estas instrucciones, se supone que el clúster que deseas agregar al permiso ya es miembro de la flota. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para el tipo de clúster en Crea tu flota a fin de registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado a fin de usar Grupos de Google para el control de acceso, como se describió antes.

Se puede agregar un clúster miembro de la flota a cualquier cantidad de permisos del equipo en su proyecto host de flota.

Para agregar un clúster a un permiso de equipo, ejecuta el siguiente comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Reemplaza lo siguiente:

BINDING_NAME: un nombre que representa la relación entre el clúster y el alcance del equipo. Te sugerimos usar MEMBERSHIP_NAME-SCOPE_NAME.
MEMBERSHIP_NAME: el identificador único dentro de la flota del clúster (por lo general, el nombre del clúster).
MEMBERSHIP_LOCATION: es la ubicación de la membresía del clúster (opcional). Si omites esto, el valor es global, que es el valor predeterminado para los registros de clústeres.

Crea espacios de nombres de flotas

Para crear un espacio de nombres en un permiso de equipo, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Reemplaza lo siguiente:

NAMESPACE_NAME: el nombre único que elegiste para el espacio de nombres dentro de la flota. Asegúrate de que NAMESPACE_NAME no entre en conflicto con las restricciones de nombres de los espacios de nombres de la flota.
SCOPE_NAME: El permiso del equipo en el que deseas usar el espacio de nombres.

Con este comando, se crea un espacio de nombres de Kubernetes llamado NAMESPACE_NAME en cada clúster del permiso del equipo. Los miembros del equipo pueden usar NAMESPACE_NAME como cualquier otro espacio de nombres de Kubernetes después de que les otorgues acceso a su permiso. Si ya tienes un espacio de nombres de Kubernetes existente llamado NAMESPACE_NAME en el permiso del equipo, se considera parte del nuevo espacio de nombres de la flota. A veces, esto se denomina integración del espacio de nombres.

Otorga acceso al permiso de equipo con RBAC

Luego, los miembros del equipo pueden tener acceso a su permiso mediante RBAC. Usa el siguiente comando para otorgar a un Grupo de Google acceso a un permiso del equipo:

gcloud container fleet scopes rbacrolebindings create BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --group=TEAM_EMAIL

Reemplaza lo siguiente:

BINDING_NAME: un nombre de string para representar esta vinculación.
SCOPE_NAME: el identificador único del permiso del equipo.
ROLE: el rol de RBAC que deseas otorgar a los miembros del equipo, que puede ser admin, edit o view.
TEAM_EMAIL: la dirección de correo electrónico del grupo de Google del equipo.

Si necesitas otorgar acceso a un usuario individual a un espacio de nombres, ejecuta el siguiente comando, en el que USER_EMAIL es la dirección de correo electrónico del ID de Google del usuario:

gcloud container fleet scopes rbacrolebindings create BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --user=USER_EMAIL

Console

Crea un permiso para el equipo

Con el proyecto host de flota seleccionado, ve a la sección Equipos en la consola de Google Cloud.

Ir a Equipos
En la parte superior de la página, haz clic en Crear permiso del equipo.
En la página Conceptos básicos del equipo, en Nombre, ingresa un nombre único para el permiso de tu equipo. No podrás cambiar este nombre una vez que se cree el permiso del equipo.
Para agregar miembros del equipo al permiso, haz clic en Agregar miembro del equipo.
- En Tipo, selecciona Usuario para agregar un miembro del equipo individual o Grupo para agregar un Grupo de Google (recomendado).
- En Usuario o Grupo, escribe la dirección de correo electrónico del miembro del equipo o grupo.
- En Rol, selecciona Administrador, Editor o Visualizador para especificar el nivel de acceso del miembro o grupo del equipo en el alcance.
- Para agregar más miembros del equipo, repite los tres pasos anteriores.
Para crear el permiso del equipo sin agregar clústeres y espacios de nombres en esta etapa, haz clic en Crear permiso de equipo. De lo contrario, continúa con la siguiente sección para agregar clústeres al permiso.

Agrega clústeres al permiso del equipo

Para asociar un clúster a un permiso de equipo, el clúster debe ser un miembro de la flota existente. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para el tipo de clúster en Crea tu flota a fin de registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado a fin de usar Grupos de Google para el control de acceso, como se describió antes.

Se puede agregar un clúster miembro de la flota a cualquier cantidad de permisos del equipo en su proyecto host de flota, lo que permite que diferentes equipos ejecuten cargas de trabajo en el mismo clúster.

En la página Conceptos básicos del equipo, después de agregar miembros del equipo a tu permiso, haz clic en Continuar.
En la página Clústeres, puedes seleccionar los clústeres de flota para asociar con este permiso de equipo. En el menú desplegable Clústeres, marca los clústeres que deseas agregar y haz clic en Aceptar.

Crea espacios de nombres de flotas

Los miembros del equipo pueden usar espacios de nombres de la flota como cualquier otro espacio de nombres de Kubernetes. Cuando creas un espacio de nombres de flota, se crea el espacio de nombres de Kubernetes correspondiente en todos los clústeres del permiso del equipo, si aún no existe.

En la página Clústeres, después de agregar clústeres al permiso de tu equipo, haz clic en Continuar.
En la página Espacios de nombres, haz clic en Agregar espacio de nombres.
- En Nombre, ingresa un nombre único para el espacio de nombres dentro de la flota o el nombre de un espacio de nombres existente si deseas incorporar ese espacio de nombres. Asegúrate de que el nombre no entre en conflicto con las restricciones de denominación de los espacios de nombres de la flota.
Para agregar más espacios de nombres de flota al permiso, repite el paso anterior.
Para crear el permiso del equipo, haz clic en Crear permiso de equipo. Una vez que se crea el permiso del equipo, puedes ver y editar el permiso de tu equipo si haces clic en su nombre en la sección Equipos.

Terraform

En esta sección, se muestra cómo configurar un equipo nuevo con Terraform. Para obtener más información y otros ejemplos, consulta la documentación de referencia de los siguientes recursos:

Crea un permiso para el equipo

Para crear un permiso de equipo, puedes usar el siguiente bloque en la configuración de Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Reemplaza lo siguiente:

TF_SCOPE_RESOURCE_NAME: el nombre que elijas para identificar de manera inequívoca el recurso google_gke_hub_scope de Terraform que creó este bloque.
SCOPE_NAME: un nombre de identificación único para el permiso de tu equipo.

Agrega clústeres al permiso

Solo se pueden agregar miembros existentes de la flota a los permisos del equipo. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para el tipo de clúster en Crea tu flota a fin de registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado a fin de usar Grupos de Google para el control de acceso, como se describió antes.

Para agregar un clúster a un permiso de equipo, usa el siguiente bloque en la configuración:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Reemplaza lo siguiente:

TF_MEMBERSHIP_BINDING_RESOURCE_NAME: un nombre para identificar el recurso google_gke_hub_membership_binding creado por este bloque.
BINDING_NAME: un nombre que representa la relación entre el clúster y el permiso. Te sugerimos usar MEMBERSHIP_NAME-SCOPE_NAME.
SCOPE_NAME: el nombre del permiso de tu equipo.
MEMBERSHIP_NAME: el identificador único dentro de la flota del clúster (por lo general, el nombre del clúster).
MEMBERSHIP_LOCATION: es la ubicación de la membresía del clúster.

Crea espacios de nombres de flotas

Los miembros del equipo pueden usar espacios de nombres de la flota como cualquier otro espacio de nombres de Kubernetes. Puedes crear un espacio de nombres nuevo o incorporar uno existente. Cuando creas un espacio de nombres de flota, se crea el espacio de nombres de Kubernetes correspondiente en todos los clústeres del permiso del equipo, si aún no existe.

Para crear un espacio de nombres de flota, usa el siguiente bloque en la configuración:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Reemplaza lo siguiente:

TF_NAMESPACE_RESOURCE_NAME: un nombre para identificar el recurso google_gke_hub_namespace creado por este bloque.
NAMESPACE_NAME: un nombre único que elegiste para el espacio de nombres de la flota. Asegúrate de que este nombre no entre en conflicto con las restricciones de nombres de los espacios de nombres de la flota.
SCOPE_NAME: el nombre del permiso del equipo en el que se crea el espacio de nombres de la flota.

Otorga acceso al permiso con RBAC

A los miembros del equipo se les puede otorgar acceso a su permiso mediante RBAC. Por ejemplo, esta es una configuración para otorgar a un usuario individual acceso al permiso de un equipo:

  resource "google_gke_hub_scope_rbac_role_binding" "TF_RBAC_ROLE_BINDING_NAME" {
    scope_rbac_role_binding_id = "BINDING_NAME"
    scope_id = SCOPE_NAME
    user = USER_EMAIL
    role {
      predefined_role = "ROLE"
    }
  }

Reemplaza lo siguiente:

TF_RBAC_ROLE_BINDING_NAME: un nombre para identificar el recurso google_gke_hub_scope_rbac_role_binding creado por este bloque.
BINDING_NAME: un nombre para representar esta vinculación.
SCOPE_NAME: el nombre del permiso del equipo.
USER_EMAIL: la dirección de correo electrónico del usuario.
ROLE: el rol de RBAC que deseas otorgar al usuario, que puede ser admin, edit o view.

Para otorgar a un Grupo de Google acceso a un permiso de equipo, usa group en lugar de user en la configuración anterior y usa la dirección de correo electrónico para el Grupo de Google del equipo.

Accede a los espacios de nombres de la flota

Una vez que se completa la configuración, los miembros del equipo pueden acceder a los espacios de nombres en su permiso mediante la obtención de las credenciales de clúster relevantes. Para obtener credenciales para un clúster miembro de la flota mediante la puerta de enlace de Connect, ejecuta el siguiente comando, en el que MEMBERSHIP_NAME es el nombre de la membresía de la flota del clúster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Para obtener más detalles, consulta Usa la puerta de enlace de Connect.

Administra los permisos del equipo

Usa los siguientes comandos para administrar los permisos del equipo.

gcloud

Enumera los permisos del equipo

Para enumerar todos los permisos de una flota, ejecuta el siguiente comando:

gcloud container fleet scopes list

Para enumerar todos los permisos asociados con un clúster, ejecuta el siguiente comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Quita clústeres de los permisos del equipo

Para quitar un clúster de un permiso, ejecuta el siguiente comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Borra un permiso de equipo

Para borrar un permiso de tu flota, ejecuta el siguiente comando:

gcloud container fleet scopes delete SCOPE_NAME

Console

Enumera los permisos del equipo

Para ver todos los permisos de una flota, con el proyecto host de la flota seleccionado, ve a la sección Equipos en la consola de Google Cloud.

Ir a Equipos

En la página Equipos, se muestra una lista de todos los permisos del equipo creados para tu flota y un resumen del uso de recursos de cada permiso, incluida la cantidad de errores y reinicios de los contenedores.

Visualiza los detalles del permiso del equipo

Para cada permiso de equipo, puedes ver las etiquetas asociadas con ese permiso, los miembros del equipo en ese permiso y los registros asociados con el permiso.

En la página Equipos, haz clic en el alcance del equipo cuyos detalles quieres ver.
En la pestaña Equipo, puedes ver las etiquetas de permiso, si las hay, y los miembros del equipo que pertenecen al permiso.
Haz clic en la pestaña Registros para ver los registros de permisos de la flota.

Agrega o borra clústeres en un permiso de equipo

Para agregar o borrar clústeres en un permiso del equipo existente, haz lo siguiente:

Ve a la página Equipos en la consola de Google Cloud.

Ir a Equipos
Selecciona el permiso del equipo en el que deseas agregar o borrar clústeres. En la pestaña Clústeres, se muestra una lista de los clústeres vinculados actualmente al permiso.

Para agregar clústeres a un permiso de equipo, haz lo siguiente:

En la parte superior de la página, haz clic en Agregar clústeres.
En el menú desplegable Clústeres, selecciona los clústeres que deseas agregar al permiso y haz clic en Aceptar.
Haz clic en Actualizar el permiso del equipo.

Para borrar clústeres de un permiso de equipo, haz lo siguiente:

Selecciona la pestaña Clústeres, que muestra una lista de los clústeres vinculados actualmente al permiso.
Haz clic en el ícono de la papelera junto al clúster que deseas borrar y, luego, en Quitar para confirmar la eliminación.

Borra un permiso

Ve a la página Equipos en la consola de Google Cloud.

Ir a Equipos
Selecciona el permiso del equipo que deseas borrar.
Para borrar el permiso, haz clic en Borrar en la parte superior de la página.
Para confirmar la eliminación, ingresa el nombre del alcance y vuelve a hacer clic en Borrar.

Administra espacios de nombres de la flota

gcloud

Usa los siguientes comandos para administrar los espacios de nombres dentro de los permisos del equipo.

Enumera espacios de nombres de flotas

Para enumerar todos los espacios de nombres creados mediante fleet scopes namespaces create en un permiso, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Borra un espacio de nombres de flota

Para borrar un espacio de nombres de flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Ten en cuenta que lo que sucede cuando borras un espacio de nombres de flota depende de cómo agregaste el espacio de nombres:

Si creaste un espacio de nombres de flota nuevo: este comando borra el espacio de nombres de la flota. También borra los espacios de nombres de Kubernetes creados como resultado de la creación del espacio de nombres de la flota, junto con sus cargas de trabajo.
Si incorporaste un espacio de nombres de Kubernetes existente, este comando borra el espacio de nombres de la flota. El espacio de nombres original que incorporaste no se borra.

Console

Para administrar espacios de nombres de flotas en el permiso de tu equipo, haz lo siguiente:

Ve a la página Equipos en la consola de Google Cloud.

Ir a Equipos
Selecciona el permiso del equipo cuyos espacios de nombres de flota deseas administrar.

Enumera espacios de nombres de flotas

En el alcance de tu equipo, selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres creados en este permiso.

Visualiza detalles del espacio de nombres

Para cada espacio de nombres de flota, puedes ver las etiquetas asociadas con ese espacio de nombres, así como las cargas de trabajo y los registros filtrados por espacio de nombres.

Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el permiso del equipo.
Haz clic en el espacio de nombres de la flota cuyos detalles deseas ver.
En la pestaña Detalles, puedes ver el espacio de nombres de la flota y las etiquetas de permiso.
- Para ver las cargas de trabajo de este espacio de nombres, haz clic en Ver cargas de trabajo.
- En la página Cargas de trabajo, puedes ver las cargas de trabajo ya filtradas por el espacio de nombres y los clústeres asociados con el permiso del equipo para ese espacio de nombres.
En la pestaña Registros, puedes ver los registros de permiso de la flota por espacio de nombres.

Agrega espacios de nombres de flotas a un permiso de equipo

Para agregar un nuevo espacio de nombres de flota, en la parte superior de la página, haz clic en Agregar espacios de nombres.
Ingresa el nombre del espacio de nombres nuevo de la flota y asegúrate de que no entre en conflicto con las restricciones de denominación del espacio de nombres de la flota. Para agregar más espacios de nombres, haz clic en Agregar espacio de nombres.
Haz clic en Actualizar el permiso del equipo.

Borra un espacio de nombres de flota

Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el permiso del equipo.
Haz clic en el ícono de la papelera junto al espacio de nombres que deseas borrar.
Para confirmar la eliminación, ingresa el nombre de tu espacio de nombres y vuelve a hacer clic en Borrar.

Ten en cuenta que lo que sucede cuando haces esto depende de cómo agregaste el espacio de nombres:

Si creaste un espacio de nombres de flota nuevo: se borra el espacio de nombres de la flota. Todos los espacios de nombres de Kubernetes creados como resultado de la creación del espacio de nombres de la flota también se borran, junto con sus cargas de trabajo.
Si incorporaste un espacio de nombres de Kubernetes existente, se borra el espacio de nombres de la flota. Sin embargo, el espacio de nombres original que incorporaste no se borra.

Actualiza un nombre de espacio de nombres de flota

No puedes editar un espacio de nombres de flota una vez creado. Si necesitas actualizar un nombre de espacio de nombres de flota, bórralo y crea uno nuevo en el permiso del equipo.

Administra el acceso del equipo

gcloud

Para actualizar el acceso al permiso del equipo (por ejemplo, para otorgar a los miembros del equipo un rol diferente o actualizar una dirección de correo electrónico de un grupo), usa el comando update correspondiente:

gcloud container fleet scopes rbacrolebindings update BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --group=TEAM_EMAIL

gcloud alpha container fleet namespaces rbacrolebindings update BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --user=USER_EMAIL

Reemplaza lo siguiente:

BINDING_NAME: un nombre de string para representar esta vinculación.
SCOPE_NAME: el identificador único del permiso del equipo.
(opcional) ROLE: el rol que deseas cambiar
TEAM_EMAIL o USER_EMAIL: es la dirección de correo electrónico que deseas cambiar (opcional).

Console

Agrega o quita miembros de equipos

Para administrar los miembros del equipo dentro del permiso de un equipo, haz lo siguiente:

Ve a la página Equipos en la consola de Google Cloud.

Ir a Equipos
Selecciona el permiso del equipo cuyos miembros deseas administrar.

Para agregar nuevos miembros del equipo al permiso, haz lo siguiente:

En la parte superior de la página, haz clic en Agregar miembros del equipo. Sigue las instrucciones detalladas en la sección Crea un alcance de equipo.
Haz clic en Actualizar el permiso del equipo.

Para quitar miembros del equipo del permiso, haz lo siguiente:

En la pestaña Equipo, haz clic en el ícono de papelera junto al miembro del equipo que deseas quitar del permiso del equipo.
Haz clic en Borrar para confirmar esta acción.

No puedes editar los detalles de un miembro del equipo en la consola de Google Cloud. Para actualizar el acceso al permiso en la consola de Google Cloud (por ejemplo, para otorgar un rol diferente a los miembros del equipo o actualizar una dirección de correo electrónico de un grupo), quita al miembro del equipo del permiso y vuelve a agregarlo con los detalles nuevos.

Delega la administración del espacio de nombres

Por lo general, solo los administradores de la plataforma pueden crear permisos de equipo y espacios de nombres de flota. Sin embargo, como administrador de la plataforma, es posible que desees delegar la creación o la administración de espacios de nombres a los administradores del equipo. Esto permite a los administradores de equipo crear y administrar espacios de nombres de flotas en sus permisos.

Para delegar la administración de espacios de nombres, crea un rol de IAM personalizado en tu proyecto con los siguientes permisos:

gkehub.namespaces.get
gkehub.namespaces.create
gkehub.namespaces.update
gkehub.namespaces.delete
gkehub.namespaces.list

Puedes personalizar el rol según tus necesidades. Por ejemplo, si no deseas permitir la eliminación de espacios de nombres de flota, omite el permiso gkehub.namespaces.delete del rol personalizado.

Después de definir el rol personalizado, usa el siguiente comando para otorgar explícitamente permiso para administrar espacios de nombres para un permiso de equipo en particular:

gcloud container fleet scopes add-iam-policy-binding SCOPE_NAME \
    --member='user:USER_EMAIL' \
    --role='projects/PROJECT_ID/roles/CUSTOM_ROLE_NAME

Solo el usuario identificado por USER_EMAIL podrá administrar los espacios de nombres de la flota de este permiso de equipo. Otros usuarios recibirán un mensaje de error.

Restricciones de nombres de los espacios de nombres de la flota

Los siguientes nombres están reservados y prohibidos para su uso cuando creas un espacio de nombres de flota en un permiso de equipo:

default
kube-system
gke-connect
kube-node-lease
kube-public
istio-system
gatekeeper-system
asm-system
config-management-system

Administrar etiquetas

Para ayudarte a identificar y administrar tus permisos, puedes usar Google Cloud CLI para crear y administrar etiquetas para los espacios de nombres de tu flota y los permisos de equipo.

Todos los espacios de nombres de flotas en el permiso heredan las etiquetas que se agregan a un permiso de equipo, lo que significa que se adjuntan a todos los espacios de nombres de Kubernetes en los clústeres del permiso. Las etiquetas que se agregan directamente a un espacio de nombres de flota se adjunta solo a sus espacios de nombres de Kubernetes correspondientes. Si una etiqueta de permiso de equipo y una etiqueta de espacio de nombres de flota tienen la misma clave, la etiqueta de permiso del equipo tiene prioridad.

Puedes trabajar en varios pares clave-valor a la vez si agregas una lista separada por comas de pares clave-valor.

Administra etiquetas de espacio de nombres de flotas

Crea un espacio de nombres de flota con etiquetas

Para crear un espacio de nombres de flota con etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Reemplaza lo siguiente:

NAMESPACE_NAME: el nombre único que elegiste para el espacio de nombres dentro de la flota.
SCOPE_NAME: el permiso del equipo en el que deseas usar el espacio de nombres.
KEY: La clave para el par clave-valor de la etiqueta
VALUE: El valor para el par clave-valor de la etiqueta

Agrega o actualiza las etiquetas de los espacios de nombres de la flota existentes

Para agregar o actualizar etiquetas para un espacio de nombres existente, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Borra etiquetas de espacio de nombres de flotas

Para borrar una etiqueta de espacio de nombres de flota específica, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Reemplaza KEY por una lista separada por comas de las claves para las etiquetas que deseas quitar.

Para borrar todas las etiquetas de espacio de nombres de la flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Administra etiquetas de permiso del equipo

Crea un permiso de equipo con etiquetas

Para crear un permiso con una etiqueta, ejecuta el siguiente comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Reemplaza lo siguiente:

SCOPE_NAME: el nombre de identificación único que elegiste para el permiso nuevo del equipo.
KEY: La clave para el par clave-valor de la etiqueta
VALUE: El valor para el par clave-valor de la etiqueta

Agrega o actualiza las etiquetas de los permisos del equipo existentes

Para agregar o actualizar etiquetas para un permiso existente, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Borra etiquetas de permiso del equipo

Para borrar etiquetas específicas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Reemplaza KEY por una lista separada por comas de las claves para las etiquetas que deseas quitar.

Para borrar todas las etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Solución de problemas

Si no puedes actualizar o crear recursos de administración de equipos de flotas, asegúrate de que la API de GKE Enterprise esté habilitada. Si inhabilitas la API de GKE Enterprise en el proyecto host de tu flota después de configurar la administración de equipos de flota, ocurre lo siguiente:

Los permisos de equipo y los espacios de nombres de flota que creaste seguirán funcionando como se esperaba, pero no se pueden actualizar.
Se pueden borrar los permisos del equipo existentes y los espacios de nombres de la flota.
No se pueden crear nuevos permisos de equipo ni espacios de nombres de flota.

Próximos pasos

Obtén información para ver las métricas a nivel del equipo y otra información específica del equipo en Usa la descripción general del equipo.
Obtén más información sobre cómo usar el Sincronizador de configuración para sincronizar los recursos de Kubernetes con los permisos y los espacios de nombres del equipo.