Questa pagina è stata tradotta dall'API Cloud Translation.

Configura i team per il tuo parco risorse

Questa pagina è rivolta agli amministratori della piattaforma che vogliono configurare e gestire l'utilizzo del parco risorse per un team. Le funzionalità di gestione del team del parco risorse sono disponibili solo per gli utenti che hanno attivato GKE Enterprise.

Prima di leggere questa pagina, assicurati di acquisire familiarità con Gestione dei team del parco risorse.

Panoramica della configurazione del team

Puoi configurare i team utilizzando Google Cloud CLI, la console Google Cloud o Terraform.

La procedura generale per la configurazione di un team è la seguente:

Seleziona o crea il parco in cui vuoi configurare l'accesso di gruppo e assicurati di disporre delle autorizzazioni e delle API corrette per completare la configurazione.
(Facoltativo, ma consigliato) Configura il controllo dell'accesso per Google Gruppi sui cluster del tuo parco risorse.
Decidi quali utenti fanno parte del team. Un team può includere Google Gruppi (opzione consigliata) e/o account individuali.
Scegli il livello di accesso alle risorse del parco e del team che vuoi per ciascun membro del team.
Crea un ambito per il team.
Aggiungi uno o più (o tutti) cluster membro del parco risorse all'ambito del team.
Definisci gli spazi dei nomi a livello di parco risorse e associali all'ambito del team.
(Facoltativo) Utilizza Config Sync per sincronizzare le risorse Kubernetes con gli ambiti e gli spazi dei nomi del team.

Il team può quindi ottenere le credenziali per accedere ai cluster utilizzando Connect Gateway.

Configura Google Cloud CLI

Anche se crei ambiti di gruppo utilizzando la console Google Cloud, potrebbe comunque essere necessario configurare l'interfaccia a riga di comando gcloud per completare alcuni prerequisiti durante la configurazione del parco risorse, ad esempio l'abilitazione delle API richieste.

Assicurati di avere la versione più recente di Google Cloud CLI, incluso il componente alpha di Google Cloud CLI. Per utilizzare i comandi di gestione del team del parco risorse, è necessaria almeno la versione 419.0.0.
Esegui il comando seguente per accedere a Google Cloud:
```
gcloud auth login
```
Esegui l'inizializzazione di gcloud CLI per l'utilizzo con il progetto host del parco risorse scelto o esegui il seguente comando per impostare il progetto host del parco risorse come predefinito:
```
gcloud config set project PROJECT_ID
```
Puoi utilizzare il flag --project con uno dei seguenti comandi per specificare un progetto host del parco risorse diverso, se necessario.

Configura il tuo parco risorse

Seleziona o crea la flotta in cui vuoi configurare un nuovo team. Per linee guida ed esempi che ti aiutino a strutturare i tuoi parchi risorse, consulta Esempi di parchi risorse e le altre guide in Pianificare il parco risorse.

Se vuoi creare un nuovo parco denominato in un progetto che non ne ha già uno, esegui il seguente comando (dovrai configurare prima il client CLI per Google Cloud):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Se non specifichi un display-name, il nuovo parco risorse viene creato con un nome visualizzato predefinito basato sul nome del progetto host del parco risorse.

Ruoli IAM richiesti

Se non hai roles/owner nel progetto host del parco risorse, devi avere roles/gkehub.admin per creare e configurare gli ambiti e gli spazi dei nomi del team. Un proprietario del progetto può concedere questo ruolo con il seguente comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Abilita API

Assicurati che nel progetto host del parco risorse siano abilitate tutte le API richieste, inclusa l'API GKE Enterprise:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Se disattivi l'API GKE Enterprise dopo aver configurato la gestione dei team del parco risorse, alcuni aspetti della funzionalità continueranno a funzionare, ma non potrai aggiornare o creare ambiti di team o spazi dei nomi del parco risorse.

Configura i cluster per il controllo dell'accesso con Google Gruppi

Sebbene tu possa configurare l'accesso di un team ai cluster di membri del parco utilizzando il RBAC su base utente senza alcuna configurazione aggiuntiva del cluster, ti consigliamo di concedere ai membri del team l'accesso ai cluster in base alla loro appartenenza a un gruppo Google del team. L'autorizzazione in base all'appartenenza al gruppo significa che non devi configurare un'autorizzazione separata per ogni account, rendendo i criteri più semplici da gestire e da controllare ed eliminando la necessità di aggiungere/rimuovere manualmente i singoli utenti dai cluster quando entrano a far parte del team o lo lasciano. Utilizza le seguenti guide per assicurarti che i cluster che vuoi assegnare agli ambiti di gruppo possano utilizzare Google Gruppi con Connect Gateway per il controllo dell'accesso:

Per i cluster GKE su Google Cloud, segui le istruzioni in Configurare Google Gruppi per RBAC.
Per i cluster dei membri del parco risorse esterni a Google Cloud, segui le istruzioni in Configurare il gateway Connect con Google Gruppi.

Configura un nuovo team

Le seguenti istruzioni mostrano come creare un nuovo ambito per un team.

Scegliere le autorizzazioni di accesso del team

Per prima cosa, decidi o scopri quali utenti compongono il tuo team. Un aspetto importante della configurazione del team è concedere a questi membri l'accesso al parco risorse, inclusa la possibilità di visualizzare i cluster nella console Google Cloud e i log nell'ambito del team. A seconda del ruolo del membro del team, potresti anche delegare la possibilità di creare spazi dei nomi nell'ambito del team (disponibile in gkehub.ScopeAdmin o gkehub.ScopeEditor) o consentire all'utente di aggiornare le associazioni di ruolo RBAC (solo gkehub.ScopeAdmin). Per semplificare questa configurazione, la gestione dei team del parco risorse fornisce tre utenti tipo di autorizzazione personalizzati tra cui scegliere, che includono un set completo di autorizzazioni IAM e Kubernetes RBAC di cui un amministratore, un editor o un visualizzatore dell'ambito del team potrebbe aver bisogno quando lavora con il proprio ambito. Puoi quindi assegnare questi utenti tipo ai membri del team durante la sua configurazione, come descritto nella sezione seguente.

La tabella seguente mostra le autorizzazioni di ogni tipo concesse a ogni persona:

Descrizione	Tipo	Utente tipo amministratore ambito	Persona dell'editor dell'ambito	Persona visualizzatore ambito
Accesso all'ambito del team e ai relativi spazi dei nomi.	Associazione IAM a livello di team	roles/gkehub.ScopeAdmin	roles/gkehub.ScopeEditor	roles/gkehub.ScopeViewer
Accesso al progetto host del parco risorse, incluse metriche, operazioni di lunga durata e Connect Gateway.	Associazione IAM nel progetto host del parco risorse	roles/gkehub.ScopeEditorProjectLevel	roles/gkehub.ScopeEditorProjectLevel	roles/gkehub.ScopeViewerProjectLevel
Accesso al bucket di log dell'ambito del team.	Vincolo IAM al progetto host del parco risorse (con la condizione che la risorsa a cui è stato eseguito l'accesso sia il nome del bucket).	roles/logging.viewAccessor	roles/logging.viewAccessor	roles/logging.viewAccessor
Accesso alle risorse Kubernetes all'interno dei cluster dell'ambito.	Associazione RBAC all'ambito applicato agli spazi dei nomi dell'ambito del team.	Ruolo predefinito di Kubernetes: admin	Ruolo predefinito per Kubernetes: modifica	Ruolo predefinito per Kubernetes: visualizzazione

Come accennato nella sezione precedente, ti consigliamo di concedere ai membri del team l'accesso alle risorse in base all'appartenenza al gruppo Google, anche se la gestione del team ti consente di concedere l'accesso ai singoli utenti.

Se questi utenti tipo non soddisfano appieno le tue esigenze, puoi anche associare singolarmente i ruoli IAM (utilizzando gcloud container fleet scopes add-iam-policy-binding) e RBAC (utilizzando gcloud container fleet scopes rbacrolebindings create). Consulta la documentazione di riferimento di Google Cloud CLI per altri comandi che puoi utilizzare per gestire queste associazioni.

Configura un ambito del team

gcloud

Crea un ambito del team

Per creare un nuovo ambito del team in un parco risorse, esegui questo comando, dove SCOPE_NAME è il nome di identificazione univoco che hai scelto per il nuovo ambito:

gcloud container fleet scopes create SCOPE_NAME

Aggiungere cluster a un ambito di gruppo

Solo i membri esistenti del parco risorse possono essere aggiunti agli ambiti dei team. Queste istruzioni assumeno che il cluster che vuoi aggiungere all'ambito sia già un membro del parco risorse. Se devi aggiungere il cluster al tuo parco risorse, segui le le istruzioni per il tipo di cluster in Crea parco risorse per registrare in un cluster Kubernetes. Assicurati che il cluster appena registrato sia configurato in modo da utilizzare Google Gruppi per l'accesso di controllo, descritti in precedenza.

Un cluster membro del parco risorse può essere aggiunto a un numero qualsiasi di ambiti del team nel progetto host del parco risorse.

Per aggiungere un cluster all'ambito di un team, esegui il seguente comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Sostituisci quanto segue:

BINDING_NAME: un nome che rappresenta la relazione tra tra il cluster e l'ambito del team. Ti consigliamo di usare MEMBERSHIP_NAME-SCOPE_NAME.
MEMBERSHIP_NAME: l'identificatore univoco del cluster all'interno del fleet (in genere il nome del cluster).
(Facoltativo) MEMBERSHIP_LOCATION: la posizione del gruppo di membri del cluster. Se lo ometti, il valore è global, che è il valore predefinito per le registrazioni dei cluster.

Crea spazi dei nomi del parco risorse

Per creare uno spazio dei nomi in un ambito di gruppo, esegui il seguente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Sostituisci quanto segue:

NAMESPACE_NAME: il nome univoco che hai scelto per la nello spazio dei nomi all'interno del parco risorse. Assicurati che NAMESPACE_NAME non sia in conflitto con le limitazioni di denominazione degli spazi dei nomi del parco risorse.
SCOPE_NAME: l'ambito del team in cui vuoi utilizzare lo spazio dei nomi.

Questo comando crea uno spazio dei nomi Kubernetes denominato NAMESPACE_NAME in ogni cluster nell'ambito del team. I membri del team possono utilizzare NAMESPACE_NAME come qualsiasi altro spazio dei nomi Kubernetes dopo che avrai concesso loro l'accesso al loro ambito. Se esiste già uno spazio dei nomi Kubernetes chiamato NAMESPACE_NAME nell'ambito del team, viene considerato parte dello spazio dei nomi del nuovo parco. A volte viene definito onboarding del nome spazio.

Concedere ai membri del team l'accesso all'ambito del team

Successivamente, assicurati che i gruppi Google pertinenti dispongano delle autorizzazioni IAM e RBAC appropriate configurate per funzionare con il nuovo ambito:

gcloud alpha container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID

PROJECT_ID è l'ID del progetto host del parco risorse
TEAM_EMAIL è l'indirizzo email del gruppo Google di un team.
SCOPE_ID è l'ID dell'ambito creato
ROLE è l'utente tipo di autorizzazione di cui il gruppo dispone nell'ambito del team. I valori di questo parametro possono essere admin (Amministratore ambito), edit (Editor ambito) o view (Visualizzatore ambito).

Se devi concedere l'accesso a un singolo utente all'ambito, esegui invece il seguente comando, dove USER_EMAIL è l'indirizzo email dell'ID Google dell'utente:

gcloud alpha container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Console

Crea un ambito del team

Dopo aver selezionato il progetto host del parco risorse, vai alla sezione Team nella console Google Cloud.

Vai a Teams
Nella parte superiore della pagina, fai clic su Crea ambito team.
Nella pagina Nozioni di base del team, in Nome, inserisci un nome univoco per l'ambito del team. Una volta creato l'ambito del team, non potrai modificare questo nome.
Per aggiungere membri al team nell'ambito, fai clic su Aggiungi membro del team.
- In Tipo, seleziona Utente per aggiungere un singolo membro del team o Gruppo per aggiungere un gruppo Google (opzione consigliata).
- In Utente o gruppo, digita l'indirizzo email del membro del team o del gruppo.
- Per Ruolo, seleziona Amministratore ambito, Editor ambito o Visualizzatore ambito, che configura più associazioni IAM e RBAC nell'ambito e nel parco risorse, come descritto in Scegliere le autorizzazioni di accesso al team.
Per creare l'ambito del team senza aggiungere cluster e spazi dei nomi in questa fase, fai clic su Crea ambito del team. In caso contrario, passa alla sezione seguente per aggiungere cluster all'ambito.

Aggiungere cluster all'ambito del team

Per associare un cluster a un ambito del team, il cluster deve essere un membro del parco risorse esistente. Se devi aggiungere il cluster al tuo parco risorse, segui le istruzioni per il tipo di cluster in Creare un parco risorse per registrarlo. Assicurati che il cluster appena registrato sia configurato per utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Un cluster membro del parco risorse può essere aggiunto a un numero qualsiasi di ambiti dei team nel progetto host del parco risorse, in modo che team diversi possano eseguire carichi di lavoro sullo stesso cluster.

Nella pagina Nozioni di base sul team, dopo aver aggiunto i membri del team all'ambito, fai clic su Continua.
Nella pagina Cluster, puoi selezionare i cluster del parco risorse da associare a questo ambito del team. Nel menu a discesa Cluster, seleziona i cluster che vuoi aggiungere e fai clic su Ok.

Creare spazi dei nomi del parco risorse

I membri del team possono utilizzare gli spazi dei nomi del parco risorse come qualsiasi altro spazio dei nomi Kubernetes. Quando crei uno spazio dei nomi del parco risorse, in tutti i cluster nell'ambito del team viene creato uno spazio dei nomi Kubernetes corrispondente, se non esiste già.

Nella pagina Cluster, dopo aver aggiunto i cluster all'ambito del team, fai clic su Continua.
Nella pagina Spazi dei nomi, fai clic su Aggiungi spazio dei nomi.
- In Nome, inserisci un nome univoco per lo spazio dei nomi all'interno del parco risorse o il nome di uno spazio dei nomi esistente se vuoi eseguirlo. Assicurati che il nome non entri in conflitto con le limitazioni di denominazione degli spazi dei nomi del parco risorse.
Per aggiungere altri spazi dei nomi del parco risorse all'ambito, ripeti il passaggio precedente.
Per creare l'ambito del team, fai clic su Crea ambito del team. Una volta creato l'ambito del team, puoi visualizzarlo e modificarlo, se necessario, facendo clic sul suo nome nella sezione Team.

Terraform

Questa sezione mostra come configurare un nuovo team utilizzando Terraform. Per ulteriori informazioni e altri esempi, consulta la documentazione di riferimento per le seguenti risorse:

Crea un ambito del team

Per creare un ambito del team, puoi utilizzare il seguente blocco in configurazione.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Sostituisci quanto segue:

TF_SCOPE_RESOURCE_NAME: il nome che scegli di usare in modo univoco identificare la risorsa Terraform google_gke_hub_scope creata bloccare.
SCOPE_NAME: un nome univoco che identifica l'ambito del team.

Aggiungi cluster all'ambito

Solo i membri del parco risorse esistenti possono essere aggiunti agli ambiti di gruppo. Se devi aggiungere cluster al tuo parco risorse, segui le istruzioni per il tipo di cluster in Crea il tuo parco risorse per registrare il cluster. Assicurati che il cluster appena registrato sia configurato per utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Per aggiungere un cluster a un ambito del team, utilizza il blocco seguente nella configurazione:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Sostituisci quanto segue:

TF_MEMBERSHIP_BINDING_RESOURCE_NAME: un nome che identifica il google_gke_hub_membership_binding risorsa creata da questo blocco.
BINDING_NAME: un nome che rappresenta la relazione tra tra il cluster e l'ambito. Ti consigliamo di utilizzare MEMBERSHIP_NAME-SCOPE_NAME.
SCOPE_NAME: il nome dell'ambito del team.
MEMBERSHIP_NAME: l'identificatore univoco del cluster all'interno parco risorse (in genere il nome del cluster).
MEMBERSHIP_LOCATION: la località di appartenenza del cluster.

Creare spazi dei nomi del parco risorse

I membri del team possono utilizzare gli spazi dei nomi del parco risorse come qualsiasi altro spazio dei nomi Kubernetes. Puoi creare uno spazio dei nomi nuovo o inserirne uno esistente. Quando crei uno spazio dei nomi del parco risorse, viene creato uno spazio dei nomi Kubernetes cluster nell'ambito del team, se non esiste già.

Per creare uno spazio dei nomi del parco risorse, utilizza il seguente blocco nella configurazione:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Sostituisci quanto segue:

TF_NAMESPACE_RESOURCE_NAME: un nome che identifica il google_gke_hub_namespace risorsa creata da questo blocco.
NAMESPACE_NAME: un nome univoco scelto per lo spazio dei nomi del parco. Assicurati che questo nome non entri in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco.
SCOPE_NAME: il nome dell'ambito del team in cui il parco risorse viene creato uno spazio dei nomi di dominio.

Concedi l'accesso all'ambito

Come descritto nella sezione precedente, ai membri del team può essere concesso l'accesso al loro ambito utilizzando personaggi con autorizzazioni che includono sia le autorizzazioni IAM che quelle RBAC. Ad esempio: Ecco una configurazione per concedere a un singolo utente l'accesso a un ambito del team:

  module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
    source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

    scope_id = "SCOPE_NAME"
    user = "USER_EMAIL"
    role = "ROLE"
  }

Sostituisci quanto segue:

TF_SCOPE_RESOURCE_NAME: il nome dell'ambito.
BINDING_NAME: un nome che rappresenta questa associazione.
SCOPE_NAME: il nome dell'ambito del team.
USER_EMAIL: l'indirizzo email dell'utente.
ROLE: l'utente tipo che vuoi concedere all'utente, che può ADMIN, EDIT o VIEW.

Per concedere a un gruppo Google l'accesso a un ambito di gruppo, utilizza group anziché user nella configurazione precedente e utilizza l'indirizzo email del gruppo Google del team.

Accedere agli spazi dei nomi del parco risorse

Una volta completata la configurazione, i membri del team possono accedere agli spazi dei nomi nei propri ottenendo le credenziali del cluster pertinenti. Per ottenere le credenziali per un cluster membro del parco risorse utilizzando Connect Gateway, esegui questo comando, MEMBERSHIP_NAME è il nome dell'appartenenza al parco risorse del cluster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Per maggiori dettagli, vedi Utilizzare il gateway Connect.

Gestisci gli ambiti dei team

Utilizza i seguenti comandi per gestire gli ambiti del team.

gcloud

Elenca gli ambiti dei team

Per elencare tutti gli ambiti in un parco risorse, esegui il seguente comando:

gcloud container fleet scopes list

Per elencare tutti gli ambiti associati a un cluster, esegui il seguente comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Rimuovere i cluster dagli ambiti di gruppo

Per rimuovere un cluster da un ambito, esegui il seguente comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Eliminare un ambito del team

Per eliminare un ambito dal tuo parco risorse, esegui questo comando:

gcloud container fleet scopes delete SCOPE_NAME

Console

Elenca gli ambiti dei team

Per visualizzare tutti gli ambiti in un parco risorse, con il progetto di hosting del parco risorse selezionato, vai alla sezione Team nella console Google Cloud.

Passare a Teams

La pagina Team mostra un elenco di tutti gli ambiti dei team creati per parco risorse. Per ogni ambito, puoi vedere un riepilogo dell'utilizzo delle risorse nel periodo di tempo specificato, nonché il costo mensile stimato, il numero di errori e il numero di riavvii del contenitore.

Puoi visualizzare metriche di utilizzo relativo ai costi più dettagliate facendo clic su Ottimizzazione dei costi.

Visualizza i dettagli dell'ambito del team

Per ogni ambito del team, puoi visualizzare i dettagli, tra cui le etichette associate a quell'ambito, i membri del team e i log basati sul team.

Nella pagina Team, fai clic sull'ambito del team di cui vuoi visualizzare i dettagli.
Nella scheda Team puoi vedere le eventuali etichette di ambito e visualizzare i membri del team.
Fai clic sulla scheda Monitoring per visualizzare le metriche di utilizzo delle risorse per il team.
Fai clic sulla scheda Cluster per visualizzare i cluster dell'ambito del team.
Fai clic sulla scheda Spazi dei nomi per visualizzare gli spazi dei nomi del parco risorse in questo ambito del team.
Fai clic sulla scheda Log per visualizzare i log dell'ambito del team.

Aggiungere o eliminare cluster nell'ambito di un team

Per aggiungere o eliminare i cluster in un ambito del team esistente:

Vai alla pagina Team nella console Google Cloud:

Passare a Teams
Seleziona l'ambito del team in cui vuoi aggiungere o eliminare i cluster. La scheda Cluster mostra un elenco dei cluster attualmente associati all'ambito.

Per aggiungere cluster a un ambito del team:

Nella parte superiore della pagina, fai clic su Aggiungi cluster.
Nel menu a discesa Cluster, seleziona i cluster da aggiungere all'ambito e fai clic su Ok.
Fai clic su Aggiorna ambito team.

Per eliminare i cluster da un ambito del team:

Seleziona la scheda Cluster che mostra un elenco dei cluster attualmente associati all'ambito.
Fai clic sull'icona del cestino accanto al cluster da eliminare e fai clic su Rimuovi per confermare l'eliminazione.

Elimina un ambito

Vai alla pagina Team nella console Google Cloud:

Vai a Teams
Seleziona l'ambito del team che vuoi eliminare.
Per eliminare l'ambito, fai clic su Elimina nella parte superiore della pagina.
Conferma l'eliminazione inserendo il nome dell'ambito e fai di nuovo clic su Elimina.

Gestisci gli spazi dei nomi del parco risorse

gcloud

Utilizza i comandi seguenti per gestire gli spazi dei nomi all'interno degli ambiti dei team.

Elenca gli spazi dei nomi del parco risorse

Per elencare tutti gli spazi dei nomi creati utilizzando fleet scopes namespaces create in un ambito, esegui questo comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Elimina uno spazio dei nomi del parco risorse

Per eliminare lo spazio dei nomi di un parco risorse, esegui il seguente comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Tieni presente che ciò che succede quando elimini uno spazio dei nomi del parco risorse dipende da come lo hai aggiunto:

Se hai creato un nuovo spazio dei nomi del parco risorse: questo comando elimina lo spazio dei nomi del parco risorse. Inoltre, vengono eliminati tutti gli spazi dei nomi Kubernetes creati a seguito della creazione dello spazio dei nomi del parco risorse, insieme ai relativi carichi di lavoro.
Se hai approvato uno spazio dei nomi Kubernetes esistente: questo comando elimina lo spazio dei nomi del parco risorse. Lo spazio dei nomi originale che hai inserito non viene eliminato.

Console

Per gestire gli spazi dei nomi del parco risorse nell'ambito del team:

Vai alla pagina Team nella console Google Cloud:

Vai a Teams
Seleziona l'ambito del team di cui vuoi gestire gli spazi dei nomi del parco.

Elenca gli spazi dei nomi del parco risorse

Nell'ambito del tuo team, seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi creati in questo ambito.

Visualizzare i dettagli dello spazio dei nomi

Per ogni spazio dei nomi del parco risorse, puoi visualizzare le etichette associate allo spazio dei nomi, nonché i carichi di lavoro e i log filtrati per lo spazio dei nomi.

Seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi del parco risorse creati nell'ambito del team.
Fai clic sullo spazio dei nomi del parco di cui vuoi visualizzare i dettagli.
Nella scheda Dettagli, puoi vedere lo spazio dei nomi e le etichette di ambito del parco.
- Per visualizzare i carichi di lavoro per questo spazio dei nomi, fai clic su Visualizza carichi di lavoro.
- Nella pagina Carichi di lavoro, puoi vedere i carichi di lavoro già filtrati per spazio dei nomi e cluster associati all'ambito del team per lo spazio dei nomi in questione.
Nella scheda Log, puoi visualizzare i log dell'ambito del parco risorse per spazio dei nomi.

Aggiungere spazi dei nomi del parco risorse a un ambito di gruppo

Per aggiungere un nuovo spazio dei nomi del parco risorse, fai clic su Aggiungi spazi dei nomi nella parte superiore della pagina.
Inserisci il nome del nuovo spazio dei nomi del parco risorse, assicurandoti che non entri in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco risorse. Per aggiungere altri spazi dei nomi, fai clic su Aggiungi spazio dei nomi.
Fai clic su Update Team Scope (Aggiorna ambito del team).

Eliminare uno spazio dei nomi del parco risorse

Seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi del parco risorse creati nell'ambito del team.
Fai clic sull'icona del Cestino accanto allo spazio dei nomi da eliminare.
Conferma l'eliminazione inserendo il nome dello spazio dei nomi e fai di nuovo clic su Elimina.

Tieni presente che ciò che accade quando esegui questa operazione dipende da come hai aggiunto lo spazio dei nomi:

Se hai creato un nuovo spazio dei nomi del parco risorse, questo viene eliminato. Vengono eliminati anche gli spazi dei nomi Kubernetes creati a seguito della creazione dello spazio dei nomi del parco risorse, insieme ai relativi carichi di lavoro.
Se hai approvato uno spazio dei nomi Kubernetes esistente, lo spazio dei nomi del parco risorse viene eliminato. Tuttavia, lo spazio dei nomi originale che hai inserito non viene eliminato.

Aggiorna il nome di uno spazio dei nomi del parco risorse

Non puoi modificare lo spazio dei nomi di un parco risorse dopo averlo creato. Se devi aggiornare il nome di uno spazio dei nomi del parco risorse, eliminalo e creane uno nuovo nell'ambito del team.

Gestire l'accesso del team

gcloud

Elenca i membri del team

Per elencare tutti i membri del team a cui è stato concesso l'accesso all'ambito del team con il comando add-app-operator-binding, insieme alle relative persone di autorizzazione, utilizza il seguente comando:

gcloud alpha container hub scopes list-app-operator-bindings SCOPE_NAME

Sostituisci quanto segue:

SCOPE_NAME: l'identificatore univoco dell'ambito del team.

Rimuovere membri dal team

Per rimuovere l'accesso all'ambito di un membro del team (concesso con add-app-operator-binding), utilizza il seguente comando:

gcloud alpha container hub scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

gcloud alpha container hub scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Sostituisci quanto segue:

SCOPE_NAME: l'identificatore univoco dell'ambito del team.
TEAM_EMAIL o USER_EMAIL: l'indirizzo email indirizzo del gruppo o dell'utente che vuoi rimuovere dal team.

Se al membro del team è stato concesso l'accesso con il comando rbacrolebindings create, utilizza il comando rbacrolebindings delete per rimuoverlo.

Aggiorna l'accesso all'ambito del team

Per aggiornare l'accesso all'ambito del team (ad esempio per concedere ai membri del team un ruolo diverso o per aggiornare l'indirizzo email di un gruppo), rimuovi il membro del team dall'ambito come descritto nella sezione precedente, quindi concedigli di nuovo l'accesso con i nuovi dettagli.

Se al membro del team è stato concesso l'accesso con il comando rbacrolebindings create, puoi utilizzare il comando rbacrolebindings update per aggiornare l'accesso del membro.

Console

Aggiungere o rimuovere membri del team

Per gestire i membri del team in un ambito di gruppo:

Vai alla pagina Team nella console Google Cloud:

Passare a Teams
Seleziona l'ambito del team di cui vuoi gestire i membri.

Per aggiungere nuovi membri al team nell'ambito:

Nella parte superiore della pagina, fai clic su Aggiungi membri al team. Segui le istruzioni dettagliate nella sezione Creare un ambito del team.
Fai clic su Update Team Scope (Aggiorna ambito del team).

Per rimuovere i membri del team dall'ambito:

Nella scheda Team, fai clic sull'icona Cestino accanto al membro del team che vuoi rimuovere dall'ambito del team.
Fai clic su Elimina per confermare l'eliminazione.

Non puoi modificare i dettagli di un membro del team nella console Google Cloud. Per aggiornare l'accesso all'ambito nella console Google Cloud (ad esempio per concedere ai membri del team un ruolo diverso o per aggiornare l'indirizzo email di un gruppo), rimuovi il membro del team dall'ambito e aggiungilo di nuovo con i nuovi dettagli.

Restrizioni di denominazione degli spazi dei nomi del parco risorse

I seguenti nomi sono riservati e non possono essere utilizzati quando crei uno spazio dei nomi del parco risorse in un ambito del team:

default
kube-system
gke-connect
kube-node-lease
kube-public
istio-system
gatekeeper-system
asm-system
config-management-system

Gestisci etichette

Per aiutarti a identificare e gestire gli ambiti, puoi utilizzare Google Cloud CLI per creare e gestire le etichette per gli spazi dei nomi del parco risorse e gli ambiti di gruppo.

Le etichette aggiunte a un ambito del team vengono ereditate da tutti gli spazi dei nomi del parco risorse in l'ambito, il che significa che sono collegati a tutti gli spazi dei nomi Kubernetes nei cluster dell'ambito. Le etichette aggiunte direttamente a uno spazio dei nomi del parco risorse vengono associate solo ai relativi spazi dei nomi Kubernetes. Se un'etichetta dell'ambito del team e un'etichetta dello spazio dei nomi del parco risorse hanno la stessa chiave, l'etichetta dell'ambito del team ha la precedenza.

Puoi lavorare su più coppie chiave/valore contemporaneamente aggiungendo un elemento separato da virgole dell'elenco di coppie chiave-valore.

Gestisci le etichette dello spazio dei nomi del parco risorse

Crea uno spazio dei nomi del parco risorse con etichette

Per creare un nome di spazio dei Namespaces del parco risorse con etichette, esegui il seguente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Sostituisci quanto segue:

NAMESPACE_NAME: il nome univoco che hai scelto per lo spazio dei nomi all'interno del parco risorse.
SCOPE_NAME: l'ambito del team in cui vuoi utilizzare nello spazio dei nomi.
KEY: chiave della coppia chiave-valore dell'etichetta.
VALUE: il valore della coppia chiave-valore dell'etichetta.

Aggiungi o aggiorna le etichette per gli spazi dei nomi del parco risorse esistenti

Per aggiungere o aggiornare le etichette per un ambito esistente, esegui il seguente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Eliminare le etichette dello spazio dei nomi del parco risorse

Per eliminare un'etichetta dello spazio dei nomi del parco specifica, esegui il seguente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Sostituisci KEY con un elenco separato da virgole delle chiavi per le etichette da rimuovere.

Per eliminare tutte le etichette dello spazio dei nomi del parco, esegui il seguente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Gestisci le etichette dell'ambito del team

Creare un ambito del team con etichette

Per creare un ambito con un'etichetta, esegui questo comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Sostituisci quanto segue:

SCOPE_NAME: il nome univoco che hai scelto per l'ambito del nuovo team.
KEY: chiave della coppia chiave-valore dell'etichetta.
VALUE: il valore della coppia chiave-valore dell'etichetta.

Aggiungere o aggiornare le etichette per gli ambiti dei team esistenti

Per aggiungere o aggiornare le etichette per un ambito esistente, esegui il seguente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Eliminare le etichette dell'ambito del team

Per eliminare etichette specifiche, esegui il seguente comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Sostituisci KEY con un elenco separato da virgole delle chiavi per le etichette da rimuovere.

Per eliminare tutte le etichette, esegui questo comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Risoluzione dei problemi

Se non riesci ad aggiornare o creare risorse di gestione dei team del parco risorse, assicurati che l'API GKE Enterprise sia abilitata. Se disabiliti l'API GKE Enterprise nel progetto host del parco risorse dopo aver configurato la gestione del team del parco risorse, si verifica quanto segue:

Tutti gli ambiti dei team e gli spazi dei nomi del parco risorse che hai creato continuano a funzionare come previsto, ma non possono essere aggiornati.
Gli ambiti dei team e gli spazi dei nomi del parco risorse esistenti possono essere eliminati.
Non è possibile creare nuovi ambiti di team e spazi dei nomi del parco risorse.

Passaggi successivi

Per scoprire come visualizzare le metriche a livello di team e altre informazioni specifiche del team, consulta Utilizzare la panoramica del team.
Scopri come utilizzare Config Sync per sincronizzare le risorse Kubernetes con gli ambiti e gli spazi dei nomi del team.