Descripción general de Connect

Connect te permite conectar cualquiera de tus clústeres de Kubernetes a Google Cloud. Esto permite el acceso al clúster y a las funciones de administración de cargas de trabajo, incluida una interfaz de usuario unificada, Cloud Console, para interactuar con el clúster.

Si tu red está configurada para permitir solicitudes salientes, puedes configurar Connect Agent a fin de atravesar NAT, proxies de salida y firewalls para establecer una conexión encriptada de larga duración entre el servidor de la API de Kubernetes de tu clúster y tu proyecto de Google Cloud. Una vez que se habilite esta conexión, podrás usar tus propias credenciales para volver a acceder a tus clústeres y a sus detalles sobre sus recursos de Kubernetes. Esto replica de forma efectiva la experiencia de IU que, de lo contrario, solo está disponible para clústeres de GKE.

Una vez establecida la conexión, el software de Agente de conexión puede intercambiar credenciales de cuentas, detalles técnicos y metadatos sobre infraestructura conectada y cargas de trabajo necesarias para administrarlas con Google Cloud, incluidos los detalles de recursos, aplicaciones, y hardware.

Estos datos del servicio de clúster se asocian con tu cuenta o proyecto de Google Cloud. Google usa estos datos para mantener un plano de control entre tu clúster y Google Cloud a fin de proporcionarte servicios de Google Cloud y funciones que solicitas, lo que incluye facilitar la asistencia, la facturación, las actualizaciones y la medición. y mejorar la confiabilidad, la calidad, la capacidad y la funcionalidad de los servicios de Connect y Google Cloud disponibles a través de Connect.

Tú controlas la información que se envía a través de Connect: el servidor de la API de Kubernetesautenticación ,autorización yregistro de auditoría en todas las solicitudes mediante Connect. Google y los usuarios pueden acceder a los datos o a las API a través de Connect después de que el administrador del clúster las autorice (por ejemplo, a través de RBAC). el administrador del clúster puede revocar esa autorización.

Connect Agent

Connect usa una Implementación llamada Connect Agent para establecer una conexión entre tus clústeres y tu proyecto de Google Cloud y manejar las solicitudes de Kubernetes.

Conecta funciones de IAM

La administración de identidades y accesos (IAM) permite que los usuarios, grupos y cuentas de servicio accedan a las API de Google Cloud y realicen tareas dentro de los productos de Google Cloud.

Debes proporcionar funciones de IAM específicas para iniciar el agente de Connect y, luego, interactuar con tu clúster mediante Google Cloud Console o el SDK de Cloud. Estas funciones no permiten el acceso directo a clústeres conectados.

Algunas de estas funciones te permiten acceder a la información sobre los clústeres, incluidos los siguientes:

  • Nombres de clústeres
  • Claves públicas
  • Direcciones IP
  • Proveedores de identidades
  • Versiones de Kubernetes
  • Tamaño del clúster
  • Otros metadatos de clústeres

Connect usa las siguientes funciones de IAM:

Nombre de la función Título de la función Descripción Permisos
roles/gkehub.admin Administrador de Hub Proporciona acceso completo a Hub y sus recursos relacionados.

Permisos para Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permisos para Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.memberships.setIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.features.setIamPolicy
roles/gkehub.viewer Visualizador de Hub Proporcionan acceso de solo lectura a Hub y a los recursos relacionados.

Permisos para Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permisos para Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
roles/gkehub.connect Agente de GKE Connect Proporciona la capacidad de establecer conexiones nuevas entre clústeres externos y Google. gkehub.endpoints.connect

Accediendo con Connect

Autenticación

Puedes usar Google Cloud Console para acceder a clústeres registrados de tres maneras:

  1. Mediante la autenticación básica, que utiliza un nombre de usuario y un archivo de contraseña estática Para obtener más información, consulta Archivo de contraseña estática.
  2. Usar un token del portador. Se admiten muchos tipos de tokens del portador, como se especifica en Kubernetes Authentication. El método más fácil es crear una cuenta de servicio de Kubernetes (KSA) en el clúster y usar su token del portador para acceder.
  3. Usa un proveedor de OpenID Connect (OIDC).

Autorización

El servidor de la API del clúster realiza las verificaciones de autorización con la identidad que usas cuando realizas la autenticación a través de Google Cloud Console.

Todas las cuentas que acceden a un clúster deben conservar al menos las siguientes funciones de RBAC de Kubernetes en el clúster:

Estas funciones proporcionan acceso de solo lectura a un clúster y detalles sobre sus nodos. Las funciones no proporcionan acceso a todos los recursos, por lo que es posible que algunas funciones de Google Cloud Console no estén disponibles. Por ejemplo, estas funciones no permiten el acceso a los secretos de Kubernetes ni a los registros de pods.

Se pueden otorgar permisos de RBAC a otras cuentas, como a través de edit o cluster-admin, para hacer mucho más dentro del clúster. Para obtener más información, consulta la documentación de RBAC.

En auditoría

Los accesos a través de Google Cloud Console se registran en la auditoría en el servidor de la API del clúster.