Quando registri un cluster esterno a Google Cloud nel tuo parco risorse, Google Cloud utilizza un deployment chiamato agente di connessione per stabilire una connessione tra il cluster e Google Cloud progetto e gestire le richieste Kubernetes. L'agente Connect non è necessario per stabilire una connessione per i cluster GKE in esecuzione su Google Cloud.
Consente l'accesso al cluster e alla gestione dei carichi di lavoro di Google Cloud, tra cui un'interfaccia utente unificata, Console Google Cloud, per interagire con il tuo cluster.
Se la tua rete è configurata in modo da consentire le richieste in uscita, puoi configurare Connetti l'agente per attraversare NAT, proxy in uscita e firewall per stabilire una connessione criptata di lunga durata tra il server API Kubernetes del tuo cluster e il tuo progetto Google Cloud. Una volta abilitata questa connessione, puoi utilizza le tue credenziali per accedere nuovamente ai cluster e ai dettagli sulle proprie risorse Kubernetes. In questo modo replica efficacemente l'esperienza di utilizzo dell'interfaccia utente altrimenti disponibile solo per i cluster GKE.
Una volta stabilita la connessione, il software Connect Agent può scambiare credenziali dell'account, dettagli tecnici e metadati relativi l'infrastruttura e i carichi di lavoro necessari per gestirli con Google Cloud, inclusi i dettagli di risorse, applicazioni e hardware.
Questi dati di servizio del cluster sono associati al tuo progetto Google Cloud e account. Google utilizza questi dati per mantenere un piano di controllo cluster e Google Cloud, per fornirti qualsiasi interfaccia alle funzionalità e ai servizi che richiedi, tra cui assistenza, fatturazione, fornendo aggiornamenti, nonché per misurare e migliorare affidabilità, qualità capacità e funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.
Mantieni il controllo su quali dati vengono inviati tramite Connect: Il server API Kubernetes esegue l'autenticazione, autorizzazione e audit logging su tutte le richieste tramite Connettiti. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo che sono state autorizzate dall'amministratore del cluster (ad esempio, tramite RBAC); l'amministratore del cluster può revocare l'autorizzazione.
Connetti i ruoli IAM
Identity and Access Management (IAM) consente a utenti, gruppi di accedere alle API di Google Cloud ed eseguire attività all'interno Google Cloud.
Devi fornire IAM specifici roles per avviare l'agente Connect e interagire con il cluster utilizzando la console Google Cloud o Google Cloud CLI. Questi i ruoli non consentono l'accesso diretto ai cluster connessi. Puoi scoprire di più su accedendo ai cluster dalla console Google Cloud in Utilizzo dei cluster dalla console Google Cloud.
Alcuni di questi ruoli ti consentono di accedere alle informazioni sui cluster, tra cui:
- Nomi dei cluster
- Chiavi pubbliche
- Indirizzi IP
- Provider di identità
- Versioni di Kubernetes
- Dimensione cluster
- Altri metadati del cluster
Connect utilizza i seguenti ruoli IAM:
| Nome ruolo | Titolo del ruolo | Descrizione | Autorizzazioni |
|---|---|---|---|
roles/gkehub.editor |
Editor hub | Fornisce l'accesso in modifica alle risorse GKE Hub. |
Autorizzazioni per Google Cloud
Autorizzazioni per Hub
|
roles/gkehub.viewer |
Visualizzatore Hub | Fornisci l'accesso di sola lettura all'hub e alle risorse correlate. |
Autorizzazioni per Google Cloud
Autorizzazioni per Hub
|
roles/gkehub.connect |
Agente GKE Connect | Consente di stabilire nuove connessioni tra cluster esterni e Google. | gkehub.endpoints.connect |
Utilizzo delle risorse e requisiti
In genere l'agente Connect installato al momento della registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare a seconda del numero di richieste inviate all'agente al secondo e delle dimensioni delle richieste. Questi aspetti possono essere influenzati da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la console Google Cloud (più utenti e/o carichi di lavoro, maggiore è il numero di richieste) e il numero di funzionalità abilitate per il parco risorse sul cluster.