Configure equipas para a sua frota

Esta página destina-se a administradores de plataformas que querem configurar e gerir a utilização da frota para uma equipa.

Antes de ler esta página, certifique-se de que conhece a gestão da equipa de frotas.

Vista geral da configuração da equipa

Pode configurar equipas através da CLI do Google Cloud, da Google Cloud consola ou do Terraform.

O procedimento geral para configurar uma equipa é o seguinte:

  1. Selecione ou crie a frota onde quer configurar o acesso da equipa e certifique-se de que tem as autorizações e as APIs corretas para concluir a configuração.
  2. (Opcional, mas recomendado) Configure o controlo de acesso para o Grupos Google nos clusters da frota.
  3. Decida que utilizadores compõem a equipa. Uma equipa pode incluir grupos Google (recomendado) e/ou contas individuais.
  4. Escolha o nível de acesso aos recursos da frota e da equipa que quer para cada membro da equipa.
  5. Crie um âmbito de equipa para a equipa.
  6. Adicione um ou mais (ou todos) clusters membros da frota ao âmbito da equipa.
  7. Defina espaços de nomes ao nível da frota e associe-os ao âmbito da equipa.
  8. (Opcional) Use o Config Sync para sincronizar recursos do Kubernetes com âmbitos de equipa e espaços de nomes.

Em seguida, a equipa pode obter credenciais para aceder aos respetivos clusters através do Connect Gateway.

Configure a CLI Google Cloud

Mesmo que crie âmbitos de equipa através da Google Cloud consola, pode ter de configurar a CLI gcloud para concluir alguns pré-requisitos durante a configuração da sua frota, como a ativação das APIs necessárias.

  1. Certifique-se de que tem a versão mais recente da CLI do Google Cloud, incluindo o componente alfa da CLI do Google Cloud. Precisa, pelo menos, da versão 419.0.0 para usar comandos de gestão da equipa de frota.

  2. Execute o seguinte comando para iniciar sessão no Google Cloud:

    gcloud auth login

  3. Inicialize a CLI gcloud para utilização com o projeto anfitrião da frota escolhida ou execute o comando seguinte para definir o projeto anfitrião da frota como predefinição:

    gcloud config set project PROJECT_ID

    Pode usar o sinalizador --project com qualquer um dos seguintes comandos para especificar um projeto de anfitrião da frota diferente, se necessário.

Configure a sua frota

Selecione ou crie a frota onde quer configurar uma nova equipa. Para ver diretrizes e exemplos que ajudam a estruturar as suas frotas, consulte Exemplos de frotas e os outros guias em Planeie a sua frota.

Se quiser criar uma nova frota com nome num projeto que ainda não tenha uma, execute o seguinte comando (tem de configurar primeiro a CLI Google Cloud):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Se não especificar um display-name, a nova frota é criada com um nome a apresentar predefinido com base no nome do projeto anfitrião da frota.

Funções de IAM necessárias

Se não tiver roles/owner no projeto de anfitrião da frota, precisa de roles/gkehub.admin para criar e configurar âmbitos e espaços de nomes da equipa. Um proprietário do projeto pode conceder esta função com o seguinte comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Ativar APIs

Certifique-se de que o projeto anfitrião da frota tem todas as APIs necessárias ativadas, incluindo a API GKE:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   container.googleapis.com

Se desativar a API GKE depois de configurar a gestão de equipas da frota, alguns aspetos da funcionalidade continuam a funcionar, mas não pode atualizar nem criar âmbitos de equipa ou espaços de nomes da frota.

Configure clusters para controlo de acesso com os Grupos Google

Embora possa configurar o acesso de uma equipa através do RBAC a clusters de membros da frota com base em utilizadores individuais sem configuração adicional de clusters, recomendamos que conceda aos membros da equipa acesso a clusters com base na respetiva associação a um grupo Google de equipa. A autorização baseada na associação a grupos significa que não tem de configurar uma autorização separada para cada conta, o que simplifica a gestão e a auditoria das políticas, e elimina a necessidade de adicionar/remover manualmente utilizadores individuais de clusters quando estes entram ou saem da equipa. Use os seguintes guias para garantir que os clusters que quer atribuir aos âmbitos da equipa podem usar os Grupos Google com o Connect Gateway para controlo de acesso:

Configure uma nova equipa

As instruções seguintes mostram como criar um novo âmbito de equipa para uma equipa.

Escolha as autorizações de acesso da equipa

Primeiro, decida ou descubra que utilizadores compõem a sua equipa. Uma parte importante da configuração da equipa é conceder a estes membros da equipa acesso à frota, incluindo a capacidade de ver clusters na Google Cloud consola e ver registos no âmbito da respetiva equipa. Consoante a função do membro da equipa, também pode querer delegar-lhe a capacidade de criar espaços de nomes no âmbito da respetiva equipa (disponível em gkehub.ScopeAdmin ou gkehub.ScopeEditor) ou permitir-lhe atualizar as associações de funções RBAC (apenas gkehub.ScopeAdmin).

Para simplificar esta configuração, a gestão da equipa de frotas oferece três perfis de autorização predefinidos à escolha que incluem um conjunto completo de autorizações da IAM e do RBAC do Kubernetes de que um administrador, um editor ou um leitor do âmbito da equipa pode precisar quando trabalha com o respetivo âmbito. Em alternativa, pode selecionar uma persona de função personalizada com autorizações RBAC personalizadas num cluster. Em seguida, pode atribuir estas personas aos membros da equipa quando configurar a sua equipa, conforme descrito na secção seguinte.

A tabela seguinte mostra que autorizações de cada tipo são concedidas a cada perfil fictício:

Descrição Tipo Perfil de administrador de âmbito Personagem fictícia do editor de âmbito Personagem fictícia do visualizador de âmbito Personagem fictícia de função personalizada

Acesso ao âmbito da equipa e aos respetivos espaços de nomes.

 Vinculação da IAM no âmbito da equipa roles/gkehub.scopeAdmin roles/gkehub.scopeEditor roles/gkehub.scopeViewer roles/gkehub.scopeViewer

Acesso ao projeto anfitrião da frota, incluindo métricas, operações de longa duração e gateway do Connect.

 Associação de IAM no projeto anfitrião da frota roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeViewerProjectLevel roles/gkehub.scopeEditorProjectLevel

Acesso ao contentor de registos do âmbito da equipa.

 Associação da IAM no projeto anfitrião da frota (com a condição de que o recurso acedido é o nome do contentor). roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor

Acesso aos recursos do Kubernetes nos clusters do âmbito.

 Vinculação RBAC no âmbito que é aplicado aos espaços de nomes do âmbito da equipa. Função predefinida do Kubernetes: administrador Função predefinida do Kubernetes: edição Função predefinida do Kubernetes: view User-defined ClusterRole

Conforme mencionado na secção anterior, recomendamos que conceda aos membros da equipa acesso aos respetivos recursos com base na associação ao Grupo Google, embora a gestão de equipas também lhe permita conceder acesso a utilizadores individuais.

Se estas personas não satisfizerem totalmente as suas necessidades, também pode associar individualmente funções de IAM (usando gcloud container fleet scopes add-iam-policy-binding) e RBAC (usando gcloud container fleet scopes rbacrolebindings create). Consulte a documentação de referência da Google Cloud CLI para ver mais comandos que pode usar para gerir estas associações.

Configure um âmbito de equipa

gcloud

Crie um âmbito de equipa

Para criar um novo âmbito da equipa numa frota, execute o seguinte comando, em que SCOPE_NAME é o nome de identificação exclusivo que escolheu para o novo âmbito:

gcloud container fleet scopes create SCOPE_NAME

Adicione clusters a um âmbito da equipa

Só é possível adicionar membros da frota existentes aos âmbitos da equipa. Estas instruções partem do princípio de que o cluster que quer adicionar ao âmbito já é um membro da frota. Se precisar de adicionar o cluster à sua frota, siga as instruções para o tipo de cluster em Crie a sua frota para registar o cluster. Certifique-se de que o cluster recém-registado está configurado para usar os Grupos Google para o controlo de acesso, conforme descrito anteriormente.

Um cluster membro da frota pode ser adicionado a qualquer número de âmbitos da equipa no respetivo projeto anfitrião da frota.

Para adicionar um cluster a um âmbito de equipa, execute o seguinte comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Substitua o seguinte:

  • BINDING_NAME: um nome que representa a relação entre o cluster e o âmbito da equipa. Sugerimos que use MEMBERSHIP_NAME-SCOPE_NAME.
  • MEMBERSHIP_NAME: o identificador exclusivo do cluster na frota (normalmente, o nome do cluster).
  • (Opcional) MEMBERSHIP_LOCATION: a localização de adesão do cluster. Se omitir este valor, o valor é global, que é a predefinição para os registos de clusters.

Crie espaços de nomes da frota

Para criar um espaço de nomes num âmbito de equipa, execute o seguinte comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Substitua o seguinte:

Este comando cria um namespace do Kubernetes denominado NAMESPACE_NAME em cada cluster no âmbito da equipa. Os membros da equipa podem usar o NAMESPACE_NAME como qualquer outro espaço de nomes do Kubernetes depois de lhes conceder acesso ao respetivo âmbito. Se já tiver um espaço de nomes do Kubernetes denominado NAMESPACE_NAME no âmbito da equipa, é considerado parte do novo espaço de nomes da frota. Por vezes, isto é designado como incorporação do espaço de nomes.

Conceda aos membros da equipa acesso ao âmbito da equipa

Usar funções predefinidas

Em seguida, certifique-se de que os grupos Google relevantes têm as autorizações de IAM e CABF adequadas configuradas para funcionar com o novo âmbito:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID
  • PROJECT_ID é o ID do projeto anfitrião da sua frota
  • TEAM_EMAIL é o endereço de email de um Grupo Google de uma equipa.
  • SCOPE_ID é o ID do âmbito que foi criado
  • ROLE é a personagem de autorização que o grupo tem no âmbito da equipa. Os valores para este parâmetro podem ser admin (administrador do âmbito), edit (editor do âmbito) ou view (leitor do âmbito).

Se precisar de conceder acesso ao âmbito a um utilizador individual, execute o seguinte comando, em que USER_EMAIL é o endereço de email do ID Google do utilizador:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Usar funções personalizadas

Para usar uma função personalizada, primeiro tem de adicionar a função personalizada à rbacrolebindingactuationfuncionalidade de frota:

gcloud container fleet rbacrolebindingactuation update --allowed-custom-roles CUSTOM_ROLE --project PROJECT_ID

Em seguida, certifique-se de que os grupos Google relevantes têm as autorizações de IAM e CABF adequadas configuradas para funcionar com o novo âmbito:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --group=TEAM_EMAIL --project PROJECT_ID

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto do anfitrião da frota.
  • TEAM_EMAIL: o endereço de email de um grupo Google de uma equipa.
  • SCOPE_ID : o ID do âmbito criado.
  • CUSTOM_ROLE: um Kubernetes ClusterRole que foi adicionado à lista de autorizações na funcionalidade rbacrolebindingactuation. Para que a funcionalidade funcione como previsto, o ClusterRole deve existir em cada cluster adicionado ao âmbito. No entanto, os recursos continuam a ser criados mesmo quando o ClusterRole não está presente.

Se precisar de conceder acesso ao âmbito a um utilizador individual, execute o seguinte comando, em que USER_EMAIL é o endereço de email do ID Google do utilizador:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --user=USER_EMAIL --project PROJECT_ID

Consola

Crie um âmbito de equipa

  1. Com o projeto anfitrião da frota selecionado, aceda à secção Equipas na Google Cloud consola.

    Aceda a Equipas

  2. Na parte superior da página, clique em Create Team Scope.

  3. Na página Informações básicas da equipa, em Nome, introduza um nome exclusivo para o âmbito da equipa. Não pode alterar este nome depois de criar o âmbito da equipa.

  4. Para adicionar membros da equipa ao âmbito, clique em Adicionar membro da equipa.

    • Em Tipo, selecione Utilizador para adicionar um membro individual da equipa ou Grupo para adicionar um grupo Google (recomendado).
    • Para Utilizador ou grupo, introduza o endereço de email do membro da equipa ou do grupo.
    • Para Função, selecione Administrador do âmbito, Editor do âmbito ou Leitor do âmbito, que configuram várias associações de IAM e CABF no âmbito e na frota, conforme descrito em Escolha autorizações de acesso da equipa.

  5. Para criar o âmbito da equipa sem adicionar clusters nem espaços de nomes nesta fase, clique em Criar âmbito da equipa. Caso contrário, avance para a secção seguinte para adicionar clusters ao âmbito.

Adicione clusters ao âmbito da equipa

Para associar um cluster a um âmbito de equipa, o cluster tem de ser um membro da frota existente. Se precisar de adicionar o cluster à sua frota, siga as instruções para o tipo de cluster em Crie a sua frota para registar o cluster. Certifique-se de que o cluster recém-registado está configurado para usar os Grupos Google para o controlo de acesso, conforme descrito anteriormente.

É possível adicionar um cluster de membros da frota a qualquer número de âmbitos da equipa no respetivo projeto anfitrião da frota, o que permite que diferentes equipas executem cargas de trabalho no mesmo cluster.

  1. Na página Informações básicas da equipa, depois de adicionar membros da equipa ao seu âmbito, clique em Continuar.
  2. Na página Clusters, pode selecionar os clusters de frota a associar a este âmbito da equipa. No menu pendente Clusters, selecione os clusters que quer adicionar e clique em OK.

Crie espaços de nomes da frota

Os membros da equipa podem usar os espaços de nomes da frota como qualquer outro espaço de nomes do Kubernetes. Quando cria um namespace da frota, é criado um namespace do Kubernetes correspondente em todos os clusters no âmbito da equipa, se ainda não existir.

  1. Na página Clusters, depois de adicionar clusters ao âmbito da equipa, clique em Continuar.
  2. Na página Namespaces, clique em Add Namespace.
  3. Para adicionar mais espaços de nomes da frota ao âmbito, repita o passo anterior.
  4. Para criar o âmbito da equipa, clique em Criar âmbito da equipa. Depois de criar o âmbito da equipa, pode vê-lo e editá-lo, se necessário, clicando no respetivo nome na secção Equipas.

Terraform

Esta secção mostra como configurar uma nova equipa através do Terraform. Para mais informações e outros exemplos, consulte a documentação de referência dos seguintes recursos:

Crie um âmbito de equipa

Para criar um âmbito de equipa, pode usar o seguinte bloco na sua configuração do Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Substitua o seguinte:

  • TF_SCOPE_RESOURCE_NAME: o nome que escolhe para identificar de forma exclusiva o recurso do Terraform google_gke_hub_scope criado por este bloco.
  • SCOPE_NAME: um nome de identificação exclusivo para o âmbito da sua equipa.

Adicione clusters ao âmbito

Só é possível adicionar membros da frota existentes aos âmbitos da equipa. Se precisar de adicionar o cluster à sua frota, siga as instruções para o seu tipo de cluster em Crie a sua frota para registar o cluster. Certifique-se de que o cluster recém-registado está configurado para usar o Grupos Google para controlo de acesso, conforme descrito anteriormente.

Para adicionar um cluster ao âmbito de uma equipa, use o seguinte bloco na sua configuração:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Substitua o seguinte:

  • TF_MEMBERSHIP_BINDING_RESOURCE_NAME: um nome para identificar o recurso google_gke_hub_membership_binding criado por este bloco.
  • BINDING_NAME: um nome que representa a relação entre o cluster e o âmbito. Sugerimos que use MEMBERSHIP_NAME-SCOPE_NAME.
  • SCOPE_NAME: o nome do âmbito da sua equipa.
  • MEMBERSHIP_NAME: o identificador exclusivo do cluster na frota (normalmente, o nome do cluster).
  • MEMBERSHIP_LOCATION: a localização de associação do cluster.

Crie espaços de nomes da frota

Os membros da equipa podem usar os espaços de nomes da frota como qualquer outro espaço de nomes do Kubernetes. Pode criar um novo espaço de nomes ou integrar um existente. Quando cria um namespace da frota, é criado um namespace do Kubernetes correspondente em todos os clusters no âmbito da equipa, se ainda não existir.

Para criar um espaço de nomes da frota, use o seguinte bloco na sua configuração:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Substitua o seguinte:

  • TF_NAMESPACE_RESOURCE_NAME: um nome para identificar o recurso google_gke_hub_namespace criado por este bloco.
  • NAMESPACE_NAME: um nome exclusivo que escolheu para o espaço de nomes da frota. Certifique-se de que este nome não entra em conflito com as restrições de nomenclatura do espaço de nomes da frota.
  • SCOPE_NAME: o nome do âmbito da equipa no qual o espaço de nomes da frota é criado.

Conceda acesso ao âmbito

Usar funções predefinidas

Conforme descrito na secção anterior, os membros da equipa podem receber acesso ao respetivo âmbito através de perfis de autorização que incluem autorizações de IAM e RBAC. Por exemplo, eis uma configuração para conceder a um utilizador individual acesso a um âmbito de equipa:

module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
  source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role = "ROLE"
}

Substitua o seguinte:

  • TF_SCOPE_RESOURCE_NAME: o nome do âmbito.
  • BINDING_NAME: um nome para representar esta associação.
  • SCOPE_NAME: o nome do âmbito da equipa.
  • USER_EMAIL: o endereço de email do utilizador.
  • ROLE: a personagem que quer conceder ao utilizador, que pode ser ADMIN, EDIT ou VIEW.

Para conceder a um grupo Google acesso a um âmbito de equipa, use group em vez de user na configuração anterior e use o endereço de email do grupo Google da equipa.

Usar funções personalizadas

Para usar uma função personalizada, primeiro tem de adicionar a função personalizada à rbacrolebindingactuationfuncionalidade de frota:

resource "google_gke_hub_feature" "rbacrolebindingactuation" {
  name = "rbacrolebindingactuation"
  location = "global"
  spec {
    rbacrolebindingactuation {
      allowed_custom_roles = ["CUSTOM_ROLE"]
    }
  }
}

A configuração seguinte concede acesso RBAC de utilizador individual a um âmbito de equipa:

resource "google_gke_hub_scope_rbac_role_binding" "BINDING_NAME" {
  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role {
    custom_role = "CUSTOM_ROLE"
  }
  depends_on = [google_gke_hub_feature.rbacrolebindingactuation]
}

Substitua o seguinte:

  • BINDING_NAME: um nome para representar esta associação.
  • SCOPE_NAME: o nome do âmbito da equipa.
  • USER_EMAIL: o endereço de email do utilizador.
  • CUSTOM_ROLE: o Kubernetes ClusterRole que foi adicionado à lista de autorizações na funcionalidade rbacrolebindingactuation. Para que a funcionalidade funcione como previsto, o ClusterRole deve existir em cada cluster adicionado ao âmbito. No entanto, os recursos continuam a ser criados mesmo quando o ClusterRole não está presente.

São necessárias autorizações de IAM adicionais ao nível do projeto e do âmbito, que podem ser adicionadas seguindo os exemplos do Terraform de associação de operador.

Aceda aos espaços de nomes da frota

Quando a configuração estiver concluída, os membros da equipa podem aceder aos espaços de nomes no respetivo âmbito obtendo as credenciais do cluster relevantes. Para obter credenciais para um cluster membro da frota através do Connect Gateway, execute o seguinte comando, em que MEMBERSHIP_NAME é o nome de membro da frota do cluster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Para mais detalhes, consulte o artigo Usar o gateway Connect.

Faça a gestão dos âmbitos da equipa

Use os seguintes comandos para gerir os âmbitos da equipa.

gcloud

Apresente âmbitos da equipa

Para apresentar uma lista de todos os âmbitos numa frota, execute o seguinte comando:

gcloud container fleet scopes list

Para apresentar uma lista de todos os âmbitos associados a um cluster, execute o seguinte comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Remova clusters dos âmbitos da equipa

Para remover um cluster de um âmbito, execute o seguinte comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Elimine um âmbito da equipa

Para eliminar um âmbito da sua frota, execute o seguinte comando:

gcloud container fleet scopes delete SCOPE_NAME

Consola

Apresente âmbitos da equipa

Para ver todos os âmbitos numa frota, com o projeto do anfitrião da frota selecionado, aceda à secção Equipas na Google Cloud consola.

Aceda a Equipas

A página Equipas mostra uma lista de todos os âmbitos de equipa criados para a sua frota. Para cada âmbito, pode ver um resumo da respetiva utilização de recursos durante o período especificado, bem como o custo mensal estimado, o número de erros e o número de reinícios do contentor.

Pode ver métricas de utilização relacionadas com custos mais detalhadas clicando em Otimização de custos.

Ver detalhes do âmbito da equipa

Para cada âmbito da equipa, pode ver detalhes, incluindo as etiquetas associadas a esse âmbito, os membros da equipa e os registos ao nível da equipa.

  1. Na página Equipas, clique no âmbito da equipa cujos detalhes quer ver.
  2. No separador Equipa, pode ver as etiquetas de âmbito, se existirem, e os membros da equipa.
  3. Clique no separador Monitorização para ver as métricas de utilização de recursos da equipa.
  4. Clique no separador Clusters para ver os clusters do âmbito da equipa.
  5. Clique no separador Espaços de nomes para ver os espaços de nomes da frota neste âmbito da equipa.
  6. Clique no separador Registos para ver os registos do âmbito da equipa.

Adicione ou elimine clusters num âmbito de equipa

Para adicionar ou eliminar clusters num âmbito da equipa existente:

  1. Aceda à página Equipas na Google Cloud consola:

    Aceda a Equipas

  2. Selecione o âmbito da equipa no qual quer adicionar ou eliminar clusters. O separador Clusters mostra uma lista dos clusters atualmente associados ao âmbito.

Para adicionar clusters ao âmbito de uma equipa:

  1. Na parte superior da página, clique em Adicionar clusters.
  2. No menu pendente Clusters, selecione os clusters que quer adicionar ao âmbito e clique em OK.
  3. Clique em Atualizar âmbito da equipa.

Para eliminar clusters de um âmbito de equipa:

  1. Selecione o separador Clusters, que lhe mostra uma lista dos clusters atualmente associados ao âmbito.
  2. Clique no ícone de lixo junto ao cluster que quer eliminar e clique em Remover para confirmar a eliminação.

Elimine um âmbito

  1. Aceda à página Equipas na Google Cloud consola:

    Aceda a Equipas

  2. Selecione o âmbito da equipa que quer eliminar.

  3. Para eliminar o âmbito, clique em Eliminar na parte superior da página.

  4. Confirme a eliminação introduzindo o nome do seu âmbito e clique novamente em Eliminar.

Faça a gestão dos espaços de nomes da frota

gcloud

Use os seguintes comandos para gerir espaços de nomes nos âmbitos da equipa.

Listar espaços de nomes da frota

Para apresentar uma lista de todos os espaços de nomes criados com fleet scopes namespaces create num âmbito, execute o seguinte comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Elimine um espaço de nomes da frota

Para eliminar um espaço de nomes da frota, execute o seguinte comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Tenha em atenção que o que acontece quando elimina um espaço de nomes da frota depende da forma como adicionou o espaço de nomes:

  • Se criou um novo espaço de nomes da frota: este comando elimina o espaço de nomes da frota. Também elimina todos os espaços de nomes do Kubernetes criados como resultado da criação do espaço de nomes da frota, juntamente com as respetivas cargas de trabalho.
  • Se integrou um espaço de nomes do Kubernetes existente: este comando elimina o espaço de nomes da frota. O espaço de nomes original que integrou não é eliminado.

Consola

Para gerir namespaces da frota no âmbito da sua equipa:

  1. Aceda à página Equipas na Google Cloud consola:

    Aceda a Equipas

  2. Selecione o âmbito da equipa cujos espaços de nomes do Fleet quer gerir.

Listar espaços de nomes da frota

No âmbito da equipa, selecione o separador Espaços de nomes, que lhe mostra uma lista dos espaços de nomes criados neste âmbito.

Veja os detalhes do espaço de nomes

Para cada espaço de nomes da frota, pode ver as etiquetas associadas a esse espaço de nomes, bem como as cargas de trabalho e os registos filtrados por espaço de nomes.

  1. Selecione o separador Espaços de nomes, que lhe mostra uma lista dos espaços de nomes da frota criados no âmbito da equipa.
  2. Clique no espaço de nomes da frota cujos detalhes quer ver.
  3. No separador Detalhes, pode ver o espaço de nomes da frota e as etiquetas de âmbito.
    • Para ver as cargas de trabalho deste espaço de nomes, clique em Ver cargas de trabalho.
    • Na página Workloads, pode ver as cargas de trabalho já filtradas pelo espaço de nomes e pelos clusters associados ao âmbito da equipa para esse espaço de nomes.
  4. No separador Registos, pode ver registos do âmbito da frota por espaço de nomes.

Adicione espaços de nomes da frota a um âmbito da equipa

  1. Para adicionar um novo espaço de nomes da frota, na parte superior da página, clique em Adicionar espaços de nomes.
  2. Introduza o nome do novo espaço de nomes da frota, garantindo que o nome não entra em conflito com as restrições de nomenclatura do espaço de nomes da frota. Para adicionar mais espaços de nomes, clique em Adicionar espaço de nomes.
  3. Clique em Atualizar âmbito da equipa.

Elimine um espaço de nomes da frota

  1. Selecione o separador Espaços de nomes, que lhe mostra uma lista dos espaços de nomes da frota criados no âmbito da equipa.
  2. Clique no ícone de lixo junto ao espaço de nomes que quer eliminar.
  3. Confirme a eliminação introduzindo o nome do seu espaço de nomes e clique novamente em Eliminar.

Tenha em atenção que o que acontece quando o faz depende da forma como adicionou o espaço de nomes:

  • Se criou um novo espaço de nomes da frota: o espaço de nomes da frota é eliminado. Todos os espaços de nomes do Kubernetes criados como resultado da criação do espaço de nomes da frota também são eliminados, juntamente com as respetivas cargas de trabalho.
  • Se integrou um espaço de nomes do Kubernetes existente: o espaço de nomes da frota é eliminado. No entanto, o espaço de nomes original que integrou não é eliminado.

Atualize o nome de um espaço de nomes da frota

Não pode editar um espaço de nomes da frota depois de criado. Se precisar de atualizar o nome de um espaço de nomes da frota, elimine o espaço de nomes e crie um novo no âmbito da equipa.

Faça a gestão do acesso da equipa

gcloud

Liste os membros da equipa

Para apresentar uma lista de todos os membros da equipa aos quais foi concedido acesso ao âmbito da equipa com o comando add-app-operator-binding, juntamente com as respetivas funções de autorização, use o seguinte comando:

gcloud beta container fleet scopes list-app-operator-bindings SCOPE_NAME

Substitua o seguinte:

  • SCOPE_NAME: o identificador exclusivo do âmbito da equipa.

Remova membros da equipa

Para remover o acesso ao âmbito de um membro da equipa (concedido com add-app-operator-binding), use o seguinte comando:

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

ou

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Substitua o seguinte:

  • SCOPE_NAME: o identificador exclusivo do âmbito da equipa.
  • TEAM_EMAIL ou USER_EMAIL: o endereço de email do grupo ou do utilizador que quer remover da equipa.

Se o membro da equipa tiver recebido acesso com o comando rbacrolebindings create, use o comando rbacrolebindings delete em alternativa para remover o membro da equipa.

Atualize o acesso ao âmbito da equipa

Para atualizar o acesso ao âmbito da equipa (por exemplo, para conceder aos membros da equipa uma função diferente ou atualizar um endereço de email de grupo), remova o membro da equipa do âmbito, conforme descrito na secção anterior, e, em seguida, conceda-lhe novamente acesso com os novos detalhes.

Se o membro da equipa tiver recebido acesso com o comando rbacrolebindings create, pode usar o comando rbacrolebindings update para atualizar o acesso do membro.

Consola

Adicione ou remova membros da equipa

Para gerir membros da equipa num âmbito da equipa:

  1. Aceda à página Equipas na Google Cloud consola:

    Aceda a Equipas

  2. Selecione o âmbito da equipa cujos membros quer gerir.

Para adicionar novos membros da equipa ao âmbito:

  1. Na parte superior da página, clique em Adicionar membros da equipa. Siga as instruções detalhadas na secção Crie um âmbito de equipa.
  2. Clique em Atualizar âmbito da equipa.

Para remover membros da equipa do âmbito:

  1. No separador Equipa, clique no ícone de lixo junto ao membro da equipa que quer remover do âmbito da equipa.
  2. Clique em Eliminar para confirmar a eliminação.

Não pode editar os detalhes de um membro da equipa na Google Cloud consola. Para atualizar o acesso ao âmbito na Google Cloud consola (por exemplo, para conceder aos membros da equipa uma função diferente ou para atualizar um endereço de email de grupo), remova o membro da equipa do âmbito e adicione-o novamente com os novos detalhes.

Restrições de nomenclatura do espaço de nomes da frota

Os seguintes nomes estão reservados e a sua utilização é proibida quando cria um espaço de nomes da frota no âmbito de uma equipa:

  • default
  • kube-system
  • gke-connect
  • kube-node-lease
  • kube-public
  • istio-system
  • gatekeeper-system
  • asm-system
  • config-management-system
  • anthos-creds
  • anthos-identity-service
  • capi-kubeadm-bootstrap-system
  • capi-system
  • cert-manager
  • gke-managed-metrics-server
  • gke-system
  • config-management-monitoring
  • istio-gateway
  • knative-serving
  • resource-group-system
  • gke-mcs
  • appdevexperience
  • vm-system
  • gmp-system
  • gmp-public
  • gke-gmp-system
  • gke-managed-filestorecsi
  • apigee
  • apigee-system

Gerir etiquetas

Para ajudar a identificar e gerir os seus âmbitos, pode usar a Google Cloud CLI para criar e gerir etiquetas para os seus espaços de nomes da frota e âmbitos da equipa.

As etiquetas adicionadas a um âmbito de equipa são herdadas por todos os espaços de nomes da frota no âmbito, o que significa que são anexadas a todos os espaços de nomes do Kubernetes nos clusters do âmbito. As etiquetas adicionadas diretamente a um espaço de nomes da frota são anexadas apenas aos espaços de nomes do Kubernetes correspondentes. Se uma etiqueta de âmbito da equipa e uma etiqueta de espaço de nomes da frota tiverem a mesma chave, a etiqueta de âmbito da equipa tem prioridade.

Pode trabalhar em vários pares de chave-valor em simultâneo adicionando uma lista de pares de chave-valor separados por vírgulas.

Faça a gestão das etiquetas do espaço de nomes da frota

Crie um espaço de nomes da frota com etiquetas

Para criar um espaço de nomes da frota com etiquetas, execute o seguinte comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Substitua o seguinte:

  • NAMESPACE_NAME: o nome exclusivo que escolheu para o espaço de nomes na frota.
  • SCOPE_NAME: o âmbito da equipa onde quer usar o espaço de nomes.
  • KEY: a chave do par de chave-valor da etiqueta.
  • VALUE: o valor do par de chave-valor da etiqueta.

Adicione ou atualize etiquetas para espaços de nomes da frota existentes

Para adicionar ou atualizar etiquetas para um espaço de nomes existente, execute o seguinte comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Elimine etiquetas de espaço de nomes da frota

Para eliminar uma etiqueta de espaço de nomes da frota específica, execute o seguinte comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Substitua KEY por uma lista separada por vírgulas das chaves das etiquetas que quer remover.

Para eliminar todas as etiquetas do espaço de nomes da frota, execute o seguinte comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Faça a gestão das etiquetas de âmbito da equipa

Crie um âmbito de equipa com etiquetas

Para criar um âmbito com uma etiqueta, execute o seguinte comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Substitua o seguinte:

  • SCOPE_NAME: o nome de identificação exclusivo que escolheu para o seu novo âmbito da equipa.
  • KEY: a chave do par de chave-valor da etiqueta.
  • VALUE: o valor do par de chave-valor da etiqueta.

Adicione ou atualize etiquetas para âmbitos de equipa existentes

Para adicionar ou atualizar etiquetas para um âmbito existente, execute o seguinte comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Elimine etiquetas de âmbito da equipa

Para eliminar etiquetas específicas, execute o seguinte comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Substitua KEY por uma lista separada por vírgulas das chaves das etiquetas que quer remover.

Para eliminar todas as etiquetas, execute o seguinte comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

O que se segue?