Saat Anda mendaftarkan cluster di luar Google Cloud ke fleet, Google Cloud menggunakan Deployment yang disebut Connect Agent untuk membuat koneksi antara cluster dan project Google Cloud Anda, serta untuk menangani permintaan Kubernetes. Agen Connect tidak diperlukan untuk membuat koneksi bagi cluster GKE yang berjalan di Google Cloud.
Hal ini memungkinkan akses ke cluster dan fitur pengelolaan beban kerja di Google Cloud, termasuk antarmuka pengguna terpadu, Konsol Google Cloud, untuk berinteraksi dengan cluster Anda.
Jika jaringan Anda dikonfigurasi untuk mengizinkan permintaan keluar, Anda dapat mengonfigurasi Agen Connect untuk melintasi NAT, proxy traffic keluar, dan firewall guna membuat koneksi terenkripsi yang tahan lama antara server Kubernetes API cluster dan project Google Cloud Anda. Setelah koneksi ini diaktifkan, Anda dapat menggunakan kredensial Anda sendiri untuk login kembali ke cluster dan mengakses detail tentang resource Kubernetes-nya. Tindakan ini secara efektif mereplikasi pengalaman UI yang hanya tersedia untuk cluster GKE.
Setelah koneksi dibuat, software Agen Koneksi dapat bertukar kredensial akun, detail teknis, dan metadata tentang infrastruktur dan workload terhubung yang diperlukan untuk mengelolanya dengan Google Cloud, termasuk detail resource, aplikasi, dan hardware.
Data layanan cluster ini dikaitkan dengan project dan akun Google Cloud Anda. Google menggunakan data ini untuk mempertahankan platform kontrol antara cluster Anda dan Google Cloud, untuk menyediakan layanan dan fitur Google Cloud apa pun yang Anda minta, termasuk memfasilitasi dukungan, penagihan, memberikan update, serta mengukur dan meningkatkan keandalan, kualitas, kapasitas, dan fungsi layanan Connect dan Google Cloud yang tersedia melalui Connect.
Anda tetap mengontrol data yang dikirim melalui Connect: server Kubernetes API Anda melakukan autentikasi, otorisasi, dan logging audit pada semua permintaan melalui Connect. Google dan pengguna dapat mengakses data atau API melalui Connect setelah mereka diberi otorisasi oleh administrator cluster (misalnya, melalui RBAC); administrator cluster dapat mencabut otorisasi tersebut.
Menghubungkan peran IAM
Identity and Access Management (IAM) memungkinkan pengguna, grup, dan akun layanan mengakses Google Cloud API serta melakukan tugas dalam produk Google Cloud.
Anda harus memberikan peran IAM tertentu untuk meluncurkan Agen Connect dan berinteraksi dengan cluster menggunakan Konsol Google Cloud atau Google Cloud CLI. Peran ini tidak mengizinkan akses langsung ke cluster yang terhubung. Anda dapat mempelajari lebih lanjut cara login ke cluster dari konsol Google Cloud di Bekerja dengan cluster dari konsol Google Cloud.
Beberapa peran ini memungkinkan Anda mengakses informasi tentang cluster, termasuk:
- Nama cluster
- Kunci publik
- Alamat IP
- Penyedia identitas
- Versi Kubernetes
- Ukuran cluster
- Metadata cluster lainnya
Connect menggunakan peran IAM berikut:
| Nama peran | Jabatan Peran | Deskripsi | Izin |
|---|---|---|---|
roles/gkehub.editor |
Editor Hub | Memberikan akses edit ke resource GKE Hub. |
Izin untuk Google Cloud
Izin untuk Hub
|
roles/gkehub.viewer |
Hub Viewer | Memberikan akses baca saja ke Hub dan resource terkait. |
Izin untuk Google Cloud
Izin untuk Hub
|
roles/gkehub.connect |
GKE Connect Agent | Memberikan kemampuan untuk membuat koneksi baru antara cluster eksternal dan Google. | gkehub.endpoints.connect |
Penggunaan dan persyaratan resource
Biasanya, agen Connect yang diinstal saat pendaftaran menggunakan CPU 500 m dan memori 200 Mi. Namun, penggunaan ini dapat bervariasi bergantung pada jumlah permintaan yang dibuat ke agen per detik, dan ukuran permintaan tersebut. Hal ini dapat dipengaruhi oleh sejumlah faktor, termasuk ukuran cluster, jumlah pengguna yang mengakses cluster melalui konsol Google Cloud (semakin banyak pengguna dan/atau beban kerja, semakin banyak permintaan), dan jumlah fitur yang mendukung fleet di cluster.