Quando você registra um cluster fora do Google Cloud na sua frota, o Google Cloud usa uma Implantação chamada de Agente do Connect para estabelecer uma conexão entre o cluster e o projeto do Google Cloud e processar solicitações do Kubernetes. O agente do Connect não é necessário para estabelecer uma conexão com clusters do GKE em execução no Google Cloud.
Isso permite acesso ao cluster e aos recursos de gerenciamento de carga de trabalho no Google Cloud, incluindo uma interface de usuário unificada, o Console do Google Cloud, para interagir com o cluster.
Se sua rede estiver configurada para permitir solicitações de saída, será possível configurar o agente do Connect para transferir NATs, proxies de saída e firewalls para estabelecer uma conexão criptografada de longa duração entre o servidor da API Kubernetes do cluster e seu projeto do Google Cloud. Quando a conexão estiver ativa, será possível usar suas próprias credenciais para fazer login novamente nos clusters e acessar detalhes sobre os recursos do Kubernetes. Isso realmente replicará a experiência da IU que está disponível apenas para clusters do GKE.
Depois que a conexão é estabelecida, o software Connect Agent pode trocar credenciais de conta, detalhes técnicos e metadados sobre a infraestrutura e as cargas de trabalho conectadas necessárias para gerenciá-las com o Google Cloud, incluindo detalhes de recursos, aplicativos. e hardware.
Esses dados do serviço de cluster estão associados ao seu projeto e conta do Google Cloud. Esses dados são usados pelo Google para manter um plano de controle entre o cluster e o Google Cloud. Assim, é possível fornecer os serviços e recursos do Google Cloud exigidos, inclusive suporte facilitado, faturamento, fornecimento de atualizações e avaliação. Além de aprimorar a confiabilidade, a qualidade, a capacidade e a funcionalidade dos serviços do Connect e do Google Cloud disponíveis por meio do Connect.
Você mantém o controle sobre os dados enviados por meio do Connect: o servidor da API Kubernetes realiza a autenticação, a autorização e a geração de registros de auditoria em todas as solicitações via Connect. Para acessar dados ou APIs por meio do Connect, o Google e os usuários precisam ser autorizados pelo administrador do cluster. Por exemplo, via RBAC. O administrador pode revogar essa autorização.
Conectar papéis do IAM
O gerenciamento de identidade e acesso (IAM, na sigla em inglês) permite que usuários, grupos e contas de serviço acessem as APIs do Google Cloud e executem tarefas nos produtos do Google Cloud.
Você precisa fornecer papéis específicos do IAM para iniciar o Connect Agent e interagir com o cluster usando o Console do Google Cloud ou o SDK do Cloud. Esses papéis não permitem acesso direto a clusters conectados. Saiba como fazer login em clusters do console do Google Cloud em Como trabalhar com clusters do console do Google Cloud.
Com alguns destes papéis, é possível acessar informações sobre clusters, incluindo:
- Nomes do cluster
- Chaves públicas
- Endereços IP
- Provedores de identidade
- versões do Kubernetes;
- tamanho do cluster
- Outros metadados de clusters.
O Connect usa os papéis do IAM a seguir:
| Nome da função | Título do papel | Descrição | Permissões |
|---|---|---|---|
roles/gkehub.editor |
Editor do hub | Fornecer acesso de edição aos recursos do Hub GKE. |
Permissões para o Google Cloud
Permissões para o Hub
|
roles/gkehub.viewer |
Leitor do Hub | Fornece acesso somente leitura ao Hub e aos recursos relacionados. |
Permissões para o Google Cloud
Permissões para o Hub
|
roles/gkehub.connect |
Agente do GKE Connect | Fornece a capacidade de estabelecer novas conexões entre clusters externos e o Google. | gkehub.endpoints.connect |
Uso de recursos e requisitos
Normalmente, o agente do Connect instalado no registro usa 500 m de CPU e 200 Mi de memória. No entanto, esse uso pode variar dependendo do número de solicitações feitas ao agente por segundo e do tamanho dessas solicitações. Isso pode ser afetado por vários fatores, incluindo o tamanho do cluster, o número de usuários que acessam o cluster pelo Console do Cloud (quanto mais usuários e/ou cargas de trabalho, mais solicitações) e o número de recursos ativados pelo ambiente no cluster.