Questa pagina è stata tradotta dall'API Cloud Translation.

Configura i team per il tuo parco risorse

Questa pagina è rivolta agli amministratori di piattaforma che vogliono configurare e gestire l'utilizzo del parco risorse per un team. Le funzionalità di gestione dei team del parco risorse sono disponibili solo per gli utenti che hanno attivato GKE Enterprise.

Questa pagina presuppone che tu abbia già letto la panoramica sulla gestione dei team del parco risorse.

Panoramica della configurazione del team

Puoi configurare i team utilizzando Google Cloud CLI, la console Google Cloud o Terraform.

La procedura generale per la creazione di un team è la seguente:

Seleziona o crea il parco risorse in cui vuoi configurare l'accesso dei team e assicurati di disporre delle autorizzazioni e delle API corrette per completare la configurazione.
(Facoltativo ma consigliato) Configura il controllo dell'accesso per Google Gruppi sui cluster del tuo parco risorse.
Decidi quali utenti compongono il team e assicurati che abbiano accesso al parco risorse. Un team può includere Google Gruppi (consigliato) e/o account individuali.
Crea un ambito del team per il team.
Aggiungi uno o più (o tutti) cluster membri del parco risorse all'ambito del team.
Definisci gli spazi dei nomi a livello di parco risorse e associali all'ambito del team.
Concedi ai membri del team l'accesso al nuovo ambito utilizzando una risorsa RBACRoleBinding.
(Facoltativo) Utilizza Config Sync per sincronizzare le risorse Kubernetes con gli ambiti e gli spazi dei nomi dei team.

Il team può quindi ottenere le credenziali per accedere ai cluster utilizzando Connect Gateway.

Configura Google Cloud CLI

Anche se crei ambiti dei team utilizzando la console Google Cloud, potresti comunque dover configurare gcloud CLI per completare alcuni prerequisiti durante la configurazione del parco risorse, ad esempio abilitare le API richieste.

Assicurati di avere la versione più recente di Google Cloud CLI, che include il componente alpha di Google Cloud CLI. Per utilizzare i comandi di gestione dei team del parco risorse è necessaria almeno la versione 419.0.0.
Esegui questo comando per accedere a Google Cloud:
```
gcloud auth login
```
initialize gcloud CLI per utilizzarlo con il progetto host del parco risorse scelto oppure esegui il comando seguente per impostare il progetto host del parco risorse come predefinito:
```
gcloud config set project PROJECT_ID
```
Se necessario, puoi utilizzare il flag --project con uno dei comandi seguenti per specificare un progetto host del parco risorse diverso.

Configura il tuo parco risorse

Seleziona o crea il parco risorse in cui vuoi configurare un nuovo team. Per linee guida ed esempi che ti aiutano a strutturare i parchi risorse, vedi Esempi del parco risorse e le altre guide in Pianificare il parco risorse.

Se vuoi creare un nuovo parco risorse denominato in un progetto che non ne ha già uno, esegui questo comando (devi configurare prima Google Cloud CLI):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Se non specifichi un display-name, il nuovo parco risorse viene creato con un nome visualizzato predefinito basato sul nome del progetto host del parco risorse.

Ruoli IAM richiesti

Se non contiene roles/owner nel progetto host del parco risorse, è necessario roles/gkehub.admin per creare e configurare gli ambiti e gli spazi dei nomi dei team. Un proprietario del progetto può concedere questo ruolo con il comando seguente:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Abilita le API

Assicurati che nel progetto host del parco risorse siano abilitate tutte le API richieste, inclusa l'API GKE Enterprise:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Se disabiliti l'API GKE Enterprise dopo aver configurato la gestione dei team del parco risorse, alcuni aspetti della funzionalità continueranno a funzionare, ma non potrai aggiornare o creare ambiti dei team o spazi dei nomi del parco risorse.

Configura i cluster per controllo dell'accesso con Google Gruppi

Sebbene sia possibile configurare l'accesso di un team utilizzando RBAC per il parco risorse membro dei cluster utente per utente senza alcuna configurazione aggiuntiva del cluster, consigliamo di concedere ai membri del team l'accesso ai cluster in base alla loro appartenenza a un gruppo Google del team. L'autorizzazione in base all'appartenenza ai gruppi significa che non devi configurare autorizzazioni separate per ogni account. In questo modo, i criteri sono più semplici da gestire e più facili da controllare. Inoltre, elimina la necessità di aggiungere/rimuovere manualmente i singoli utenti dai cluster quando entrano a far parte del team o lo lasciano. Utilizza le seguenti guide per assicurarti che i cluster che vuoi assegnare agli ambiti dei team possano utilizzare Google Gruppi con Connect Gateway per il controllo dell'accesso'accesso:

Per i cluster GKE su Google Cloud, segui le istruzioni riportate in Configurare Google Gruppi per RBAC.
Per i cluster dei membri del parco risorse esterni a Google Cloud, segui le istruzioni in Configurare il gateway Connect con Google Gruppi.

Concedi ai membri del team l'accesso al parco risorse

Quindi, decidi o scopri quali utenti compongono il team e assicurati che abbiano accesso al parco risorse. Come menzionato nella sezione precedente, consigliamo di concedere ai membri del team l'accesso alle loro risorse in base all'appartenenza a un gruppo Google, sebbene la gestione dei team ti permetta anche di concedere l'accesso a singoli utenti. Assicurati che i singoli o i gruppi Google pertinenti dispongano dei ruoli Identity and Access Management (IAM) appropriati configurati per funzionare con i cluster del parco risorse:

gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=group:TEAM_EMAIL \
   --role=roles/gkehub.viewer

gcloud projects add-iam-policy-binding PROJECT_ID \
   --member=group:TEAM_EMAIL \
   --role=roles/gkehub.gatewayEditor

PROJECT_ID è l'ID del progetto host del parco risorse
TEAM_EMAIL è l'indirizzo email del gruppo Google di un team.

Questi comandi consentono ai membri del team di visualizzare tutti i cluster del parco risorse nella console Google Cloud e (solo per Google Gruppi) di utilizzare Connect Gateway per accedere ai cluster dei membri del parco risorse con autorizzazione basata su Google Gruppi.

Configura un nuovo team

Le seguenti istruzioni mostrano come creare un nuovo ambito del team.

gcloud

Crea un ambito del team

Per creare un nuovo ambito del team in un parco risorse, esegui il comando seguente, dove SCOPE_NAME è il nome di identificazione univoco che hai scelto per il nuovo ambito:

gcloud container fleet scopes create SCOPE_NAME

Aggiungi cluster a un ambito del team

Solo i membri esistenti del parco risorse possono essere aggiunti agli ambiti dei team. In queste istruzioni si presuppone che il cluster che vuoi aggiungere all'ambito sia già un membro del parco risorse. Se devi aggiungere il cluster al tuo parco risorse, segui le istruzioni relative al tuo tipo di cluster in Creare il parco risorse per registrare il cluster. Assicurati che il cluster appena registrato sia configurato in modo da utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Un cluster membro del parco risorse può essere aggiunto a un numero qualsiasi di ambiti dei team nel progetto host del parco risorse.

Per aggiungere un cluster a un ambito del team, esegui questo comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Sostituisci quanto segue:

BINDING_NAME: un nome che rappresenta la relazione tra il cluster e l'ambito del team. Ti consigliamo di utilizzare MEMBERSHIP_NAME-SCOPE_NAME.
MEMBERSHIP_NAME: l'identificatore univoco del cluster all'interno del parco risorse (in genere il nome del cluster).
(Facoltativo) MEMBERSHIP_LOCATION: la località dell'appartenenza del cluster. Se ometti questo valore, il valore è global, che è il valore predefinito per le registrazioni dei cluster.

Crea spazi dei nomi del parco risorse

Per creare uno spazio dei nomi in un ambito del team, esegui questo comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Sostituisci quanto segue:

NAMESPACE_NAME: il nome univoco che hai scelto per lo spazio dei nomi all'interno del parco risorse. Assicurati che NAMESPACE_NAME non sia in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco risorse.
SCOPE_NAME: l'ambito del team in cui vuoi utilizzare lo spazio dei nomi.

Questo comando crea uno spazio dei nomi Kubernetes denominato NAMESPACE_NAME in ogni cluster nell'ambito del team. I membri del team possono utilizzare NAMESPACE_NAME come qualsiasi altro spazio dei nomi Kubernetes dopo che hai concesso loro l'accesso all'ambito. Se hai già uno spazio dei nomi Kubernetes denominato NAMESPACE_NAME nell'ambito del team, è considerato parte del nuovo spazio dei nomi del parco risorse. Talvolta è definito onboarding per lo spazio dei nomi.

Concedi l'accesso all'ambito del team con RBAC

Ai membri del team è quindi possibile concedere l'accesso al proprio ambito utilizzando RBAC. Utilizza il seguente comando per concedere a un gruppo Google l'accesso a un ambito del team:

gcloud container fleet scopes rbacrolebindings create BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --group=TEAM_EMAIL

Sostituisci quanto segue:

BINDING_NAME: un nome stringa per rappresentare questa associazione.
SCOPE_NAME: identificatore univoco dell'ambito del team.
ROLE: il ruolo RBAC che vuoi concedere ai membri del team, che può essere admin, edit o view.
TEAM_EMAIL: l'indirizzo email del gruppo Google del team.

Se devi concedere a un singolo utente l'accesso a uno spazio dei nomi, esegui il comando seguente, dove USER_EMAIL è l'indirizzo email dell'ID Google dell'utente:

gcloud container fleet scopes rbacrolebindings create BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --user=USER_EMAIL

Console

Crea un ambito del team

Con il progetto host del parco risorse selezionato, vai alla sezione Team nella console Google Cloud.

Vai a Team
Nella parte superiore della pagina, fai clic su Crea ambito team.
Nella pagina Nozioni di base del team, in Nome, inserisci un nome univoco per l'ambito del tuo team. Non potrai modificare questo nome dopo aver creato l'ambito del team.
Per aggiungere membri del team all'ambito, fai clic su Aggiungi membro del team.
- In Tipo, seleziona Utente per aggiungere un singolo membro del team oppure Gruppo per aggiungere un gruppo Google (consigliato).
- In Utente o gruppo, digita l'indirizzo email del membro del team o del gruppo.
- In Ruolo, seleziona Amministratore, Editor o Visualizzatore per specificare il livello di accesso del membro del team o del gruppo all'ambito.
- Per aggiungere altri membri del team, ripeti i tre passaggi precedenti.
Per creare l'ambito del team senza aggiungere cluster e spazi dei nomi in questa fase, fai clic su Crea ambito team. In caso contrario, vai alla sezione seguente per aggiungere cluster all'ambito.

Aggiungi cluster all'ambito del team

Per associare un cluster a un ambito del team, il cluster deve essere un membro del parco risorse esistente. Se devi aggiungere il cluster al tuo parco risorse, segui le istruzioni relative al tuo tipo di cluster in Creare il parco risorse per registrare il cluster. Assicurati che il cluster appena registrato sia configurato in modo da utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Un cluster membro del parco risorse può essere aggiunto a un numero qualsiasi di ambiti dei team nel progetto host del parco risorse, in modo che team diversi possano eseguire carichi di lavoro sullo stesso cluster.

Nella pagina Nozioni di base del team, dopo aver aggiunto i membri del team all'ambito, fai clic su Continua.
Nella pagina Cluster, puoi selezionare i cluster del parco risorse da associare a questo ambito del team. Nel menu a discesa Cluster, seleziona i cluster che vuoi aggiungere e fai clic su OK.

Crea spazi dei nomi del parco risorse

I membri del team possono utilizzare gli spazi dei nomi del parco risorse come qualsiasi altro spazio dei nomi Kubernetes. Quando crei uno spazio dei nomi del parco risorse, viene creato uno spazio dei nomi Kubernetes corrispondente in tutti i cluster nell'ambito del team, se non esiste già.

Nella pagina Cluster, dopo aver aggiunto i cluster all'ambito del tuo team, fai clic su Continua.
Nella pagina Spazi dei nomi, fai clic su Aggiungi spazio dei nomi.
- In Nome, inserisci un nome univoco per lo spazio dei nomi all'interno del parco risorse oppure il nome di uno spazio dei nomi esistente se vuoi integrare questo spazio dei nomi. Assicurati che il nome non sia in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco risorse.
Per aggiungere all'ambito altri spazi dei nomi del parco risorse, ripeti il passaggio precedente.
Per creare l'ambito del team, fai clic su Crea ambito del team. Una volta creato l'ambito del team, se necessario puoi visualizzarlo e modificarlo facendo clic sul nome nella sezione Team.

Terraform

Questa sezione mostra come configurare un nuovo team utilizzando Terraform. Per ulteriori informazioni e altri esempi, consulta la documentazione di riferimento per le seguenti risorse:

Crea un ambito del team

Per creare un ambito del team, puoi utilizzare il blocco seguente nella configurazione Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Sostituisci quanto segue:

TF_SCOPE_RESOURCE_NAME: il nome scelto per identificare in modo univoco la risorsa google_gke_hub_scope Terraform creata da questo blocco.
SCOPE_NAME: un nome di identificazione univoco per l'ambito del tuo team.

Aggiungi cluster all'ambito

Solo i membri esistenti del parco risorse possono essere aggiunti agli ambiti dei team. Se devi aggiungere il cluster al tuo parco risorse, segui le istruzioni relative al tuo tipo di cluster in Crea il tuo parco risorse per registrare il cluster. Assicurati che il cluster appena registrato sia configurato in modo da utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Per aggiungere un cluster a un ambito del team, utilizza il blocco seguente nella configurazione:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Sostituisci quanto segue:

TF_MEMBERSHIP_BINDING_RESOURCE_NAME: un nome per identificare la risorsa google_gke_hub_membership_binding creata da questo blocco.
BINDING_NAME: un nome che rappresenta la relazione tra il cluster e l'ambito. Ti consigliamo di utilizzare MEMBERSHIP_NAME-SCOPE_NAME.
SCOPE_NAME: il nome dell'ambito del team.
MEMBERSHIP_NAME: l'identificatore univoco del cluster all'interno del parco risorse (in genere il nome del cluster).
MEMBERSHIP_LOCATION: la località di appartenenza del cluster.

Crea spazi dei nomi del parco risorse

I membri del team possono utilizzare gli spazi dei nomi del parco risorse come qualsiasi altro spazio dei nomi Kubernetes. Puoi creare uno spazio dei nomi nuovo o integrare uno spazio esistente. Quando crei uno spazio dei nomi del parco risorse, viene creato uno spazio dei nomi Kubernetes corrispondente in tutti i cluster nell'ambito del team, se non esiste già.

Per creare uno spazio dei nomi del parco risorse, utilizza il blocco seguente nella tua configurazione:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Sostituisci quanto segue:

TF_NAMESPACE_RESOURCE_NAME: un nome per identificare la risorsa google_gke_hub_namespace creata da questo blocco.
NAMESPACE_NAME: un nome univoco che hai scelto per lo spazio dei nomi del parco risorse. Assicurati che questo nome non sia in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco risorse.
SCOPE_NAME: il nome dell'ambito del team in cui viene creato lo spazio dei nomi del parco risorse.

Concedi l'accesso all'ambito con RBAC

Ai membri del team è possibile concedere l'accesso al loro ambito utilizzando RBAC. Ad esempio, questa è una configurazione per concedere a un singolo utente l'accesso a un ambito del team:

  resource "google_gke_hub_scope_rbac_role_binding" "TF_RBAC_ROLE_BINDING_NAME" {
    scope_rbac_role_binding_id = "BINDING_NAME"
    scope_id = SCOPE_NAME
    user = USER_EMAIL
    role {
      predefined_role = "ROLE"
    }
  }

Sostituisci quanto segue:

TF_RBAC_ROLE_BINDING_NAME: un nome per identificare la risorsa google_gke_hub_scope_rbac_role_binding creata da questo blocco.
BINDING_NAME: un nome per rappresentare questa associazione.
SCOPE_NAME: il nome dell'ambito del team.
USER_EMAIL: l'indirizzo email dell'utente.
ROLE: il ruolo RBAC che vuoi concedere all'utente, che può essere admin, edit o view.

Per concedere a un gruppo Google l'accesso a un ambito del team, utilizza group anziché user nella configurazione precedente e usa l'indirizzo email del gruppo Google del team.

Accedi agli spazi dei nomi del parco risorse

Al termine della configurazione, i membri del team possono accedere agli spazi dei nomi nel loro ambito ottenendo le credenziali del cluster pertinenti. Per ottenere le credenziali per un cluster di membri del parco risorse utilizzando Connect Gateway, esegui questo comando, dove MEMBERSHIP_NAME è il nome dell'appartenenza al parco risorse del cluster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Per maggiori dettagli, consulta Utilizzo di Connect Gateway.

Gestisci gli ambiti dei team

Utilizza i comandi seguenti per gestire gli ambiti dei team.

gcloud

Elenca gli ambiti dei team

Per elencare tutti gli ambiti di un parco risorse, esegui questo comando:

gcloud container fleet scopes list

Per elencare tutti gli ambiti associati a un cluster, esegui questo comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Rimuovi i cluster dagli ambiti dei team

Per rimuovere un cluster da un ambito, esegui questo comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Elimina un ambito del team

Per eliminare un ambito dal parco risorse, esegui questo comando:

gcloud container fleet scopes delete SCOPE_NAME

Console

Elenca gli ambiti dei team

Per visualizzare tutti gli ambiti in un parco risorse, con il progetto host del parco risorse selezionato, vai alla sezione Team nella console Google Cloud.

Vai a Team

La pagina Team mostra un elenco di tutti gli ambiti dei team creati per il tuo parco risorse e un riepilogo dell'utilizzo delle risorse per ogni ambito, inclusi il numero di errori e i riavvii dei container.

Visualizza dettagli dell'ambito del team

Per ogni ambito del team, puoi visualizzare le etichette associate all'ambito, i membri del team inclusi in quell'ambito e i log associati all'ambito.

Nella pagina Team, fai clic sull'ambito del team di cui vuoi visualizzare i dettagli.
Nella scheda Team puoi vedere le eventuali etichette dell'ambito e visualizzare i membri del team che appartengono all'ambito.
Fai clic sulla scheda Log per visualizzare i log dell'ambito del parco risorse.

Aggiungi o elimina cluster in un ambito del team

Per aggiungere o eliminare cluster in un ambito del team esistente:

Vai alla pagina Team nella console Google Cloud:

Vai a Team
Seleziona l'ambito del team in cui vuoi aggiungere o eliminare i cluster. La scheda Cluster mostra un elenco dei cluster attualmente associati all'ambito.

Per aggiungere cluster a un ambito del team:

Nella parte superiore della pagina, fai clic su Aggiungi cluster.
Nel menu a discesa Cluster, seleziona i cluster che vuoi aggiungere all'ambito e fai clic su OK.
Fai clic su Aggiorna ambito team.

Per eliminare i cluster da un ambito del team:

Seleziona la scheda Cluster, che mostra un elenco dei cluster attualmente associati all'ambito.
Fai clic sull'icona del Cestino accanto al cluster da eliminare e fai clic su Rimuovi per confermare l'eliminazione.

Elimina un ambito

Vai alla pagina Team nella console Google Cloud:

Vai a Team
Seleziona l'ambito del team che vuoi eliminare.
Per eliminare l'ambito, fai clic su Elimina nella parte superiore della pagina.
Conferma l'eliminazione inserendo il nome dell'ambito e fai di nuovo clic su Elimina.

Gestisci gli spazi dei nomi del parco risorse

gcloud

Utilizza i comandi seguenti per gestire gli spazi dei nomi negli ambiti dei team.

Elenca spazi dei nomi del parco risorse

Per elencare tutti gli spazi dei nomi creati utilizzando fleet scopes namespaces create in un ambito, esegui questo comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Elimina uno spazio dei nomi del parco risorse

Per eliminare uno spazio dei nomi del parco risorse, esegui questo comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Tieni presente che ciò che succede quando elimini uno spazio dei nomi del parco risorse dipende da come lo hai aggiunto:

Se hai creato un nuovo spazio dei nomi del parco risorse: questo comando elimina lo spazio dei nomi del parco risorse. Elimina inoltre tutti gli spazi dei nomi Kubernetes creati a seguito della creazione dello spazio dei nomi del parco risorse, insieme ai relativi carichi di lavoro.
Se hai approvato uno spazio dei nomi Kubernetes esistente: questo comando elimina lo spazio dei nomi del parco risorse. Lo spazio dei nomi originale che hai inizializzato non viene eliminato.

Console

Per gestire gli spazi dei nomi del parco risorse nell'ambito del tuo team:

Vai alla pagina Team nella console Google Cloud:

Vai a Team
Seleziona l'ambito del team di cui vuoi gestire gli spazi dei nomi del parco risorse.

Elenca spazi dei nomi del parco risorse

Nell'ambito del tuo team, seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi creati in questo ambito.

Visualizza dettagli spazio dei nomi

Per ogni spazio dei nomi del parco risorse, puoi visualizzare le etichette associate allo spazio dei nomi, nonché i carichi di lavoro e i log filtrati per spazio dei nomi.

Seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi del parco risorse creati nell'ambito del team.
Fai clic sullo spazio dei nomi del parco risorse di cui vuoi visualizzare i dettagli.
Nella scheda Dettagli puoi vedere le etichette dello spazio dei nomi del parco risorse e dell'ambito.
- Per visualizzare i carichi di lavoro per questo spazio dei nomi, fai clic su Visualizza carichi di lavoro.
- Nella pagina Carichi di lavoro puoi vedere i carichi di lavoro già filtrati in base allo spazio dei nomi e i cluster associati all'ambito del team per quello spazio dei nomi.
Nella scheda Log, puoi visualizzare i log dell'ambito del parco risorse per spazio dei nomi.

Aggiungi spazi dei nomi del parco risorse a un ambito del team

Per aggiungere un nuovo spazio dei nomi del parco risorse, fai clic su Aggiungi spazi dei nomi nella parte superiore della pagina.
Inserisci il nome del nuovo spazio dei nomi del parco risorse, assicurandoti che il nome non sia in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco risorse. Per aggiungere altri spazi dei nomi, fai clic su Aggiungi spazio dei nomi.
Fai clic su Aggiorna ambito team.

Elimina uno spazio dei nomi del parco risorse

Seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi del parco risorse creati nell'ambito del team.
Fai clic sull'icona del Cestino accanto allo spazio dei nomi che vuoi eliminare.
Conferma l'eliminazione inserendo il nome dello spazio dei nomi e fai di nuovo clic su Elimina.

Tieni presente che ciò che accade quando esegui questa operazione dipende da come hai aggiunto lo spazio dei nomi:

Se hai creato un nuovo spazio dei nomi del parco risorse: lo spazio dei nomi del parco risorse viene eliminato. Vengono eliminati anche tutti gli spazi dei nomi Kubernetes creati in seguito alla creazione dello spazio dei nomi del parco risorse, insieme ai relativi carichi di lavoro.
Se hai approvato uno spazio dei nomi Kubernetes esistente:lo spazio dei nomi del parco risorse viene eliminato. Tuttavia, lo spazio dei nomi originale che hai inizializzato non viene eliminato.

Aggiorna il nome di uno spazio dei nomi del parco risorse

Non puoi modificare uno spazio dei nomi del parco risorse dopo averlo creato. Se devi aggiornare il nome di uno spazio dei nomi del parco risorse, eliminalo e creane uno nuovo nell'ambito del team.

Gestisci accesso team

gcloud

Per aggiornare l'accesso all'ambito del team (ad esempio, per concedere ai membri del team un ruolo diverso o aggiornare l'indirizzo email di un gruppo), utilizza il comando update corrispondente:

gcloud container fleet scopes rbacrolebindings update BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --group=TEAM_EMAIL

gcloud alpha container fleet namespaces rbacrolebindings update BINDING_NAME \
   --scope=SCOPE_NAME \
   --role=ROLE \
   --user=USER_EMAIL

Sostituisci quanto segue:

BINDING_NAME: un nome stringa per rappresentare questa associazione.
SCOPE_NAME: identificatore univoco dell'ambito del team.
(Facoltativo) ROLE: il ruolo che vuoi modificare
(Facoltativo) TEAM_EMAIL o USER_EMAIL: l'indirizzo email che vuoi modificare.

Console

Aggiungere o rimuovere membri del team

Per gestire i membri di un team in un ambito del team:

Vai alla pagina Team nella console Google Cloud:

Vai a Team
Seleziona l'ambito del team di cui vuoi gestire i membri.

Per aggiungere nuovi membri del team all'ambito:

Nella parte superiore della pagina, fai clic su Aggiungi membri del team. Segui le istruzioni dettagliate nella sezione Creare un ambito del team.
Fai clic su Aggiorna ambito team.

Per rimuovere membri del team dall'ambito:

Nella scheda Team, fai clic sull'icona Cestino accanto al membro del team che vuoi rimuovere dall'ambito del team.
Fai clic su Elimina per confermare l'eliminazione.

Non puoi modificare i dettagli di un membro del team nella console Google Cloud. Per aggiornare l'accesso all'ambito nella console Google Cloud (ad esempio, per concedere ai membri del team un ruolo diverso o aggiornare l'indirizzo email di un gruppo), rimuovi il membro del team dall'ambito e aggiungilo di nuovo con i nuovi dettagli.

Delega la gestione dello spazio dei nomi

In genere solo gli amministratori di piattaforma possono creare ambiti dei team e spazi dei nomi del parco risorse. Tuttavia, in qualità di amministratore della piattaforma, potresti voler delegare la creazione e/o la gestione degli spazi dei nomi agli amministratori del team. In questo modo, gli amministratori dei team possono creare e gestire gli spazi dei nomi del parco risorse nei propri ambiti.

Per delegare la gestione dello spazio dei nomi, crea un ruolo IAM personalizzato nel tuo progetto con le seguenti autorizzazioni:

gkehub.namespaces.get
gkehub.namespaces.create
gkehub.namespaces.update
gkehub.namespaces.delete
gkehub.namespaces.list

Puoi personalizzare il ruolo come preferisci. Ad esempio, se non vuoi consentire l'eliminazione degli spazi dei nomi del parco risorse, ometti l'autorizzazione gkehub.namespaces.delete dal ruolo personalizzato.

Dopo aver definito il ruolo personalizzato, utilizza il comando seguente per concedere in modo esplicito l'autorizzazione a gestire gli spazi dei nomi per un ambito del team specifico:

gcloud container fleet scopes add-iam-policy-binding SCOPE_NAME \
    --member='user:USER_EMAIL' \
    --role='projects/PROJECT_ID/roles/CUSTOM_ROLE_NAME

Solo l'utente identificato da USER_EMAIL potrà gestire gli spazi dei nomi del parco risorse per questo ambito del team. Gli altri utenti riceveranno un messaggio di errore.

Limitazioni di denominazione dello spazio dei nomi del parco risorse

I seguenti nomi sono riservati e non possono essere utilizzati quando crei uno spazio dei nomi del parco risorse in un ambito del team:

default
kube-system
gke-connect
kube-node-lease
kube-public
istio-system
gatekeeper-system
asm-system
config-management-system

Gestisci etichette

Per identificare e gestire gli ambiti, puoi utilizzare Google Cloud CLI per creare e gestire le etichette per gli spazi dei nomi del parco risorse e gli ambiti dei team.

Le etichette aggiunte a un ambito del team vengono ereditate da tutti gli spazi dei nomi del parco risorse nell'ambito, il che significa che sono collegate a tutti gli spazi dei nomi Kubernetes nei cluster dell'ambito. Le etichette aggiunte direttamente a uno spazio dei nomi del parco risorse vengono collegate solo agli spazi dei nomi Kubernetes corrispondenti. Se un'etichetta di ambito del team e un'etichetta dello spazio dei nomi del parco risorse hanno la stessa chiave, l'etichetta dell'ambito del team ha la precedenza.

Puoi lavorare su più coppie chiave/valore contemporaneamente, aggiungendo un elenco di coppie chiave-valore separato da virgole.

Gestisci etichette dello spazio dei nomi del parco risorse

Crea uno spazio dei nomi del parco risorse con etichette

Per creare uno spazio dei nomi del parco risorse con etichette, esegui questo comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Sostituisci quanto segue:

NAMESPACE_NAME: il nome univoco che hai scelto per lo spazio dei nomi all'interno del parco risorse.
SCOPE_NAME: l'ambito del team in cui vuoi utilizzare lo spazio dei nomi.
KEY: la chiave della coppia chiave-valore dell'etichetta.
VALUE: il valore della coppia chiave-valore dell'etichetta.

Aggiungi o aggiorna le etichette per gli spazi dei nomi del parco risorse esistenti

Per aggiungere o aggiornare le etichette per uno spazio dei nomi esistente, esegui questo comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Elimina etichette dello spazio dei nomi del parco risorse

Per eliminare un'etichetta dello spazio dei nomi del parco risorse specifica, esegui questo comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Sostituisci KEY con un elenco separato da virgole delle chiavi delle etichette che vuoi rimuovere.

Per eliminare tutte le etichette dello spazio dei nomi del parco risorse, esegui questo comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Gestisci le etichette dell'ambito del team

Crea un ambito del team con etichette

Per creare un ambito con un'etichetta, esegui questo comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Sostituisci quanto segue:

SCOPE_NAME: il nome di identificazione univoco che hai scelto per l'ambito del nuovo team.
KEY: la chiave della coppia chiave-valore dell'etichetta.
VALUE: il valore della coppia chiave-valore dell'etichetta.

Aggiungi o aggiorna le etichette per gli ambiti dei team esistenti

Per aggiungere o aggiornare le etichette per un ambito esistente, esegui questo comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Elimina le etichette dell'ambito del team

Per eliminare etichette specifiche, esegui questo comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Sostituisci KEY con un elenco separato da virgole delle chiavi delle etichette che vuoi rimuovere.

Per eliminare tutte le etichette, esegui questo comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Risolvere i problemi

Se non riesci ad aggiornare o creare risorse di gestione dei team del parco risorse, assicurati che l'API GKE Enterprise sia abilitata. Se disabiliti l'API GKE Enterprise nel progetto host del parco risorse dopo aver configurato la gestione dei team del parco risorse, si verifica quanto segue:

Gli ambiti dei team e gli spazi dei nomi del parco risorse che hai creato continuano a funzionare come previsto, ma non possono essere aggiornati.
Gli ambiti dei team e gli spazi dei nomi del parco risorse esistenti possono essere eliminati.
Non è possibile creare nuovi ambiti dei team e spazi dei nomi del parco risorse.

Che cosa succede dopo?

Per scoprire come visualizzare le metriche a livello di team e altre informazioni specifiche per i team, consulta Utilizzare la panoramica del team.
Scopri come utilizzare Config Sync per sincronizzare le risorse Kubernetes con ambiti e spazi dei nomi dei team.