Panoramica di Agente Connect

Quando registri un cluster esterno Google Cloud al tuo parco risorse, Google Cloud viene utilizzato un deployment chiamato agente Connect per stabilire una connessione tra il cluster e il tuo Google Cloud progetto e per gestire le richieste Kubernetes. L'agente Connect non è necessario per stabilire una connessione per i cluster GKE in esecuzione in Google Cloud.

In questo modo puoi accedere alle funzionalità di gestione del cluster e dei carichi di lavoro in Google Cloud, inclusa un'interfaccia utente unificata, la console Google Cloud, per interagire con il cluster.

Se la tua rete è configurata per consentire le richieste in uscita, puoi configurare l'agente Connect in modo che attraversi NAT, proxy di uscita e firewall per stabilire una connessione criptata di lunga durata tra il server API Kubernetes del cluster e il tuo Google Cloud progetto. Una volta attivata questa connessione, puoi utilizzare le tue credenziali per accedere di nuovo ai cluster e accedere ai dettagli delle relative risorse Kubernetes. In questo modo viene replicata efficacemente l'esperienza utente che altrimenti è disponibile solo per i cluster GKE.

Una volta stabilita la connessione, il software Connect Agent può scambiare con Google Cloudle credenziali dell'account, i dettagli tecnici e i metadati relativi all'infrastruttura e ai carichi di lavoro collegati necessari per gestirli, inclusi i dettagli di risorse, applicazioni e hardware.

Questi dati del servizio cluster sono associati al tuo Google Cloud progetto e al tuo account. Google utilizza questi dati per mantenere un piano di controllo tra il tuo cluster e Google Cloud, per fornirti tutti i servizi e le funzionalità Google Cloudrichiesti, inclusa la facilitazione dell'assistenza, la fatturazione, la fornitura di aggiornamenti e per misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità di Connect e dei servizi Google Cloud disponibili tramite Connect.

Hai sempre il controllo sui dati inviati tramite Connect: il tuo server API Kubernetes esegue l'autenticazione, l'autorizzazione e i log di controllo su tutte le richieste tramite Connect. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo aver ricevuto l'autorizzazione dall'amministratore del cluster (ad esempio tramite RBAC); l'amministratore del cluster può revocare l'autorizzazione.

Collega i ruoli IAM

Identity and Access Management (IAM) consente a utenti, gruppi e account di servizio di accedere alle API e di eseguire attività all'interno dei prodotti. Google Cloud Google Cloud

Devi fornire ruoli IAM specifici per avviare l'agente di connessione e interagire con il cluster utilizzando la console Google Cloud o Google Cloud CLI. Questi ruoli non consentono l'accesso diretto ai cluster collegati. Per scoprire di più su come accedere ai cluster dalla console Google Cloud, consulta Utilizzare i cluster dalla console Google Cloud.

Alcuni di questi ruoli ti consentono di accedere alle informazioni sui cluster, tra cui:

  • Nomi dei cluster
  • Chiavi pubbliche
  • Indirizzi IP
  • Provider di identità
  • Versioni di Kubernetes
  • Dimensione cluster
  • Altri metadati del cluster

Connect utilizza i seguenti ruoli IAM:

Nome ruolo Titolo del ruolo Descrizione Autorizzazioni
roles/gkehub.editor Hub Editor Fornisce l'accesso in modifica alle risorse GKE Hub.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer Hub Viewer Fornisci l'accesso di sola lettura all'hub e alle risorse correlate.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect GKE Connect Agent Offre la possibilità di stabilire nuove connessioni tra i cluster esterni e Google. gkehub.endpoints.connect

Utilizzo e requisiti delle risorse

In genere, l'agente Connect installato al momento della registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare a seconda del numero di richieste inviate all'agente al secondo e delle dimensioni di queste richieste. Questi possono essere influenzati da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la console Google Cloud (più utenti e/o carichi di lavoro, più richieste) e il numero di funzionalità abilitate per il parco risorse nel cluster.