Cuando registras un clúster fuera de Google Cloud en tu flota, Google Cloud usa una Implementación llamada Agente de Connect para establecer una conexión entre el clúster y tu proyecto de Google Cloud, y controlar las solicitudes de Kubernetes. No es necesario el agente de Connect para establecer una conexión a los clústeres de GKE que se ejecutan en Google Cloud.
Esto permite el acceso al clúster y a las funciones de administración de cargas de trabajo en Google Cloud, incluida una interfaz de usuario unificada, la consola de Google Cloud, para interactuar con el clúster.
Si tu red está configurada para permitir solicitudes salientes, puedes configurar el agente de Connect a fin de desviar NAT, proxies de salida y firewalls para establecer una conexión encriptada de larga duración entre el servidor de la API de Kubernetes del clúster y el proyecto de Google Cloud. Una vez que se habilite esta conexión, podrás usar tus propias credenciales para volver a acceder a tus clústeres y a sus detalles sobre sus recursos de Kubernetes. Esto replica de forma efectiva la experiencia de IU que, de lo contrario, solo está disponible para clústeres de GKE.
Una vez establecida la conexión, el software del agente de Connect puede intercambiar credenciales de cuentas, detalles técnicos y metadatos sobre infraestructura conectada y cargas de trabajo necesarias para administrarlas con Google Cloud, incluidos los detalles de recursos, aplicaciones, y hardware.
Estos datos del servicio de clúster se asocian a tu cuenta y proyecto de Google Cloud. Google usa estos datos para mantener un plano de control entre tu clúster y Google Cloud a fin de proporcionarte cualquier servicio de Google Cloud y las funciones que solicitas, lo que incluye facilitar la asistencia, la facturación, las actualizaciones y la medición, y mejorar la confiabilidad, la calidad, la capacidad y la funcionalidad de los servicios de Connect y Google Cloud disponibles a través de Connect.
Tú controlas los datos que se envían a través de Connect: tu servidor de la API de Kubernetes realiza la autenticación, la autorización y el registro de auditoría en todas las solicitudes mediante Connect. Google y los usuarios pueden acceder a los datos o las API mediante Connect después de que el administrador del clúster los haya autorizado (por ejemplo, a través de RBAC). El administrador del clúster puede revocar esa autorización.
Roles de IAM de Connect
Identity and Access Management (IAM) permite que los usuarios, los grupos y las cuentas de servicio accedan a las API de Google Cloud y realicen tareas dentro de los productos de Google Cloud.
Debes proporcionar roles de IAM específicos para iniciar el agente de Connect e interactuar con tu clúster mediante la consola de Google Cloud o Google Cloud CLI. Estas funciones no permiten el acceso directo a clústeres conectados. Puedes obtener más información sobre cómo acceder a los clústeres desde la consola de Google Cloud en Trabaja con clústeres desde la consola de Google Cloud.
Algunas de estas funciones te permiten acceder a la información sobre los clústeres, incluidos los siguientes:
- Nombres de clústeres
- Claves públicas
- Direcciones IP
- Proveedores de identidades
- Versiones de Kubernetes
- Tamaño del clúster
- Otros metadatos de clústeres
Connect usa las siguientes funciones de IAM:
Nombre de la función | Título de la función | Descripción | Permisos |
---|---|---|---|
roles/gkehub.editor |
Editor de Hub | Proporciona acceso de edición a los recursos de GKE Hub. |
Permisos para Google Cloud
Permisos para Hub
|
roles/gkehub.viewer |
Visualizador de Hub | Proporciona acceso de solo lectura a Hub y a los recursos relacionados. |
Permisos para Google Cloud
Permisos para Hub
|
roles/gkehub.connect |
Agente de GKE Connect | Proporciona la capacidad de establecer conexiones nuevas entre clústeres externos y Google. | gkehub.endpoints.connect |
Uso y requisitos de recursos
Por lo general, el agente Connect conectado en el registro utiliza 500 m de CPU y 200 Mi de memoria. Sin embargo, este uso puede variar según la cantidad de solicitudes que se realicen al agente por segundo y el tamaño de esas solicitudes. Estos elementos pueden verse afectados por varios factores, como el tamaño del clúster, la cantidad de usuarios que acceden al clúster a través de la consola de Google Cloud (mientras más usuarios o cargas de trabajo haya, más solicitudes existirán) y la cantidad de funciones habilitadas para la flota en el clúster.