Quando registri un cluster esterno a Google Cloud nel tuo parco risorse, Google Cloud utilizza un deployment chiamato agente di connessione per stabilire una connessione tra il cluster e Google Cloud progetto e gestire le richieste Kubernetes. L'agente Connect non è necessario per stabilire una connessione per i cluster GKE in esecuzione su Google Cloud.
Consente l'accesso al cluster e alla gestione dei carichi di lavoro di Google Cloud, tra cui un'interfaccia utente unificata, Console Google Cloud, per interagire con il tuo cluster.
Se la tua rete è configurata per consentire le richieste in uscita, puoi configurare l'agente Connect in modo che attraversi i NAT, i proxy in uscita e i firewall per stabilire una connessione criptata di lunga durata tra il server API Kubernetes del cluster e il tuo progetto Google Cloud. Una volta abilitata questa connessione, puoi utilizza le tue credenziali per accedere nuovamente ai cluster e ai dettagli sulle proprie risorse Kubernetes. In questo modo replica efficacemente l'esperienza di utilizzo dell'interfaccia utente che altrimenti è disponibile solo per i cluster GKE.
Una volta stabilita la connessione, il software Connect Agent può scambiare credenziali dell'account, dettagli tecnici e metadati relativi l'infrastruttura e i carichi di lavoro necessari per gestirli con Google Cloud, inclusi i dettagli di risorse, applicazioni e hardware.
Questi dati del servizio del cluster sono associati al tuo progetto e al tuo account Google Cloud. Google utilizza questi dati per mantenere un piano di controllo tra il tuo cluster e Google Cloud, per fornirti tutti i servizi e le funzionalità di Google Cloud che richiedi, inclusa la facilitazione dell'assistenza, della fatturazione, della fornitura di aggiornamenti e per misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità di Connect e dei servizi Google Cloud disponibili tramite Connect.
Hai sempre il controllo sui dati inviati tramite Connect: il tuo server API Kubernetes esegue l'autenticazione, l'autorizzazione e i log di controllo su tutte le richieste tramite Connect. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo che sono state autorizzate dall'amministratore del cluster (ad esempio, tramite RBAC); l'amministratore del cluster può revocare l'autorizzazione.
Connetti i ruoli IAM
Identity and Access Management (IAM) consente a utenti, gruppi e account di servizio di accedere alle API Google Cloud ed eseguire attività all'interno dei prodotti Google Cloud.
Devi fornire IAM specifici roles per avviare l'agente Connect e interagire con il cluster utilizzando la console Google Cloud o Google Cloud CLI. Questi i ruoli non consentono l'accesso diretto ai cluster connessi. Per scoprire di più su come accedere ai cluster dalla console Google Cloud, consulta Utilizzare i cluster dalla console Google Cloud.
Alcuni di questi ruoli ti consentono di accedere alle informazioni sui cluster, tra cui:
- Nomi dei cluster
- Chiavi pubbliche
- Indirizzi IP
- Provider di identità
- Versioni di Kubernetes
- Dimensione cluster
- Altri metadati del cluster
Connect utilizza i seguenti ruoli IAM:
Nome ruolo | Titolo del ruolo | Descrizione | Autorizzazioni |
---|---|---|---|
roles/gkehub.editor |
Hub Editor | Fornisce l'accesso in modifica alle risorse GKE Hub. |
Autorizzazioni per Google Cloud
Autorizzazioni per Hub
|
roles/gkehub.viewer |
Hub Viewer | Fornisci l'accesso di sola lettura all'hub e alle risorse correlate. |
Autorizzazioni per Google Cloud
Autorizzazioni per Hub
|
roles/gkehub.connect |
GKE Connect Agent | Consente di stabilire nuove connessioni tra cluster esterni e Google. | gkehub.endpoints.connect |
Utilizzo delle risorse e requisiti
In genere, l'agente Connect installato al momento della registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare a seconda del numero di richieste inviate all'agente al secondo e delle dimensioni di queste richieste. Questi possono essere influenzati da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la console Google Cloud (più utenti e/o carichi di lavoro, più richieste) e il numero di funzionalità abilitate per il parco risorse nel cluster.