Un compito comune per gli amministratori di piattaforme è assicurarsi che i team di applicazioni e servizi dispongano delle risorse infrastrutturali necessarie per eseguire i loro carichi di lavoro. A seconda dell'organizzazione, i team potrebbero dover utilizzare cluster specifici o eseguire carichi di lavoro su ogni cluster di un parco risorse, con il controllo dell'accesso configurato in modo appropriato per ogni team. Le funzionalità di gestione dei team del parco risorse semplificano per gli amministratori il provisioning e la gestione di risorse di infrastruttura come questa per i team, con ogni team che agisce come "tenant" separato nel parco risorse. I team possono eseguire e gestire i propri carichi di lavoro, nonché visualizzare log, utilizzo delle risorse, tassi di errore e altre metriche, il tutto nel contesto del proprio insieme di cluster e spazi dei nomi.
Questa pagina è rivolta agli amministratori di piattaforma e ai membri dei team delle applicazioni che vogliono saperne di più sulle funzionalità di gestione dei team del parco risorse. Le funzionalità di gestione del team del parco risorse sono disponibili solo per gli utenti che hanno abilitato l'intera piattaforma GKE Enterprise.
Panoramica della gestione del team del parco risorse
La gestione dei team del parco risorse si basa su due concetti chiave che offrono agli amministratori un'astrazione "a livello di team" da utilizzare per gestire i parchi risorse:
- Gli ambiti dei team consentono di definire sottoinsiemi di risorse del parco risorse in base al team, con ogni ambito associato a uno o più cluster membro del parco risorse. Gli ambiti dei team possono includere cluster su Google Cloud o esterni a Google Cloud, anche se tutti i cluster devono essere membri dello stesso parco risorse. Un cluster può essere associato a più di un ambito del team, consentendo a team diversi di eseguire carichi di lavoro sullo stesso cluster.
- Gli spazi dei nomi del parco risorse offrono un modo per controllare chi può accedere a spazi dei nomi specifici all'interno del tuo parco risorse. Per impostazione predefinita, tutti gli spazi dei nomi con lo stesso nome definito nei cluster nel parco risorse vengono trattati come se fossero lo stesso spazio dei nomi. Tuttavia, la gestione del team del parco risorse offre un modo per aggiungere un controllo più granulare sugli spazi dei nomi. Puoi creare spazi dei nomi del parco risorse all'interno di ambiti del team specifici e quindi concedere ai membri del team l'accesso solo nei cluster che rientrano nell'ambito del loro team. Gli spazi dei nomi di Fleet possono essere utilizzati come qualsiasi altro spazio dei nomi Kubernetes nei cluster membri nell'ambito del team. Gli amministratori della piattaforma possono creare autonomamente spazi dei nomi del parco risorse oppure, con alcune autorizzazioni aggiuntive, delegare la creazione dello spazio dei nomi agli amministratori del team.
Esempio di gestione del team
Ad esempio, supponiamo che tu sia un amministratore della piattaforma per l'azienda Cymbal Group e che tu stia configurando le risorse per due team in un unico parco risorse.
- Il team di backend è costituito da un gruppo Google,
backend-team@cymbalgroup.com. Decidi che questo team può eseguire carichi di lavoro sul cluster 1 e sul cluster 2, utilizzando lo spazio dei nomibackend. Crea un ambito del team che includa i due cluster e definisci uno spazio dei nomi del parco risorsebackendall'interno di questo ambito. - Il team di frontend è composto da due gruppi Google,
frontend-admin@cymbalgroup.comefrontend-dev@cymbalgroup.com. Decidi che il team frontend può eseguire carichi di lavoro sui cluster 2 e 3 utilizzando gli spazi dei nomifrontend-fooefrontend-bar. Crea di nuovo un ambito del team con i due cluster e definisci due spazi dei nomi del parco risorse all'interno di questo ambito.
Come puoi vedere nel diagramma, una volta configurati i team, entrambi possono utilizzare il cluster 2 e ogni team utilizza i propri spazi dei nomi. Inoltre, il team di backend può utilizzare lo spazio dei nomi sul cluster 1 e il team di frontend può utilizzare gli spazi dei nomi sul cluster 3. Entrambi i team possono eseguire i propri carichi di lavoro sui cluster e visualizzare le proprie risorse senza dover considerare l'altro team.
In ogni caso, devi specificare che i responsabili del team (il singolo utente Dana nel caso del team di backend, frontend-admin membri del gruppo nel caso del team Frontend) hanno accesso admin all'ambito del team, il che significa che può creare ruoli e associazioni di ruoli all'interno dell'ambito, mentre i restanti membri del team hanno accesso editor.
Sebbene sia possibile impostare manualmente tutta questa configurazione con kubectl o altri strumenti, l'utilizzo delle funzionalità di gestione dei team semplifica l'onboarding dei team e consente agli amministratori e ai membri del team di utilizzare funzionalità aggiuntive basate sugli ambiti dei team, come le metriche basate sui team.
In una situazione reale, probabilmente avrai anche parchi risorse separati per gli ambienti di produzione, sviluppo e test. Creeresti ambiti per i team di frontend e backend all'interno di ciascuno di questi parchi risorse, mettendo a loro disposizione i propri cluster di produzione, sviluppo e test. Puoi scoprire di più al riguardo consultando le nostre best practice ed esempi del parco risorse.
Funzionalità per i team
Una volta configurati gli ambiti di gruppo, gli operatori e gli amministratori delle applicazioni possono visualizzare informazioni basate sul team, come l'utilizzo delle risorse, i log, gli errori per spazio dei nomi e altre metriche di tutto il loro ambito, il che li aiuta a valutare più facilmente l'utilizzo delle risorse totali, risolvere i problemi e altro ancora. Per scoprire di più, consulta Utilizzare la panoramica del team. Gli ambiti di gruppo possono essere utilizzati anche per eseguire l'implementazione sequenziale degli upgrade.
Accesso agli ambiti dei team
Consigliamo ai membri del team di accedere ai cluster di ambito del team con kubectl utilizzando le credenziali speciali del cluster per Connect Gateway. Connect Gateway è un servizio coerente e sicuro che consente agli utenti di accedere con i propri ID Google a qualsiasi cluster nel parco risorse, incluso l'utilizzo di Google Gruppi per l'autorizzazione. Sebbene non sia strettamente necessario per l'autenticazione ai cluster GKE su Google Cloud, l'utilizzo delle credenziali del gateway offre un modo semplice e coerente per autenticarsi ai cluster dei membri del parco, anche tra progetti. La gestione dei team del parco risorse al momento non supporta provider di identità di terze parti.
Risorse esistenti
La gestione dei team del parco risorse può essere utilizzata anche per "eseguire l'onboarding" di namespace e cluster esistenti utilizzati dai team della tua organizzazione, consentendo ad amministratori e team di iniziare a utilizzare le funzionalità basate sui team con i carichi di lavoro esistenti. Se crei uno spazio dei nomi del parco risorse ed esiste già uno spazio dei nomi Kubernetes con lo stesso nome su uno dei cluster associati all'ambito del team, questo spazio dei nomi verrà considerato come un'istanza dello spazio dei nomi del parco risorse e, di conseguenza, fa parte dell'ambito del team.
Passaggi successivi
- Se sei un amministratore di piattaforma, segui le istruzioni in Configurare i team per impostare, configurare e gestire gli ambiti e gli spazi dei nomi dei team.
- Per scoprire come visualizzare le metriche a livello di team e altre informazioni specifiche del team, consulta Utilizzare la panoramica del team (solo anteprima limitata).