Saat mendaftarkan cluster di luar Google Cloud ke fleet Anda, Google Cloud akan menggunakan Deployment yang disebut Agen Connect untuk membuat koneksi antara cluster dan project Google Cloud Anda, serta untuk menangani permintaan Kubernetes. Agen Connect tidak diperlukan untuk membuat koneksi ke cluster GKE yang berjalan di Google Cloud.
Hal ini memungkinkan akses ke cluster dan fitur pengelolaan workload di Google Cloud, termasuk antarmuka pengguna terpadu, Google Cloud Console, untuk berinteraksi dengan cluster Anda.
Jika jaringan Anda dikonfigurasi untuk mengizinkan permintaan keluar, Anda dapat mengonfigurasi Connect Agent untuk melintasi NAT, proxy keluar, dan firewall guna membuat koneksi terenkripsi yang berumur panjang antara server Kubernetes API cluster dan project Google Cloud Anda. Setelah koneksi ini diaktifkan, Anda dapat menggunakan kredensial Anda sendiri untuk login kembali ke cluster dan mengakses detail resource Kubernetes mereka. Hal ini secara efektif mereplikasi pengalaman UI yang biasanya hanya tersedia untuk cluster GKE.
Setelah koneksi dibuat, software Connect Agent dapat bertukar kredensial akun, detail teknis, dan metadata tentang infrastruktur dan workload terhubung yang diperlukan untuk mengelolanya dengan Google Cloud, termasuk detail resource, aplikasi, dan hardware.
Data layanan cluster ini dikaitkan dengan project dan akun Google Cloud Anda. Google menggunakan data ini untuk mempertahankan bidang kontrol antara cluster Anda dan Google Cloud, untuk menyediakan layanan dan fitur Google Cloud apa pun yang Anda minta, termasuk memfasilitasi dukungan, penagihan, menyediakan update, serta mengukur dan meningkatkan keandalan, kualitas, kapasitas, dan fungsionalitas layanan Connect dan Google Cloud yang tersedia melalui Connect.
Anda tetap dapat mengontrol data yang dikirim melalui Connect: server Kubernetes API Anda melakukan autentikasi, otorisasi, dan logging audit pada semua permintaan melalui Connect. Google dan pengguna dapat mengakses data atau API melalui Connect setelah mereka diberi otorisasi oleh administrator cluster (misalnya, melalui RBAC); administrator cluster dapat mencabut otorisasi tersebut.
Menghubungkan peran IAM
Dengan Identity and Access Management (IAM), pengguna, grup, dan akun layanan dapat mengakses Google Cloud API dan menjalankan tugas dalam produk Google Cloud.
Anda perlu memberikan peran IAM tertentu untuk meluncurkan Agen Connect dan berinteraksi dengan cluster Anda menggunakan Konsol Google Cloud atau Google Cloud CLI. Peran ini tidak mengizinkan akses langsung ke cluster yang terhubung. Anda dapat mempelajari lebih lanjut cara login ke cluster dari Google Cloud Console dalam artikel Bekerja dengan cluster dari Konsol Google Cloud.
Beberapa peran ini memungkinkan Anda mengakses informasi tentang cluster, termasuk:
- Nama cluster
- Kunci publik
- Alamat IP
- Penyedia identitas
- Versi Kubernetes
- Ukuran cluster
- Metadata cluster lainnya
Connect menggunakan peran IAM berikut:
Nama peran | Jabatan Peran | Deskripsi | Izin |
---|---|---|---|
roles/gkehub.editor |
Editor Hub | Menyediakan akses edit ke resource GKE Hub. |
Izin untuk Google Cloud
Izin untuk Hub
|
roles/gkehub.viewer |
Hub Viewer | Memberikan akses hanya baca ke Hub dan resource terkait. |
Izin untuk Google Cloud
Izin untuk Hub
|
roles/gkehub.connect |
GKE Connect Agent | Menyediakan kemampuan untuk membuat koneksi baru antara cluster eksternal dan Google. | gkehub.endpoints.connect |
Penggunaan dan persyaratan resource
Biasanya, agen Connect yang diinstal saat pendaftaran menggunakan CPU 500 m dan memori 200 Mi. Namun, penggunaan ini dapat bervariasi bergantung pada jumlah permintaan yang dibuat ke agen per detik, dan ukuran permintaan tersebut. Hal ini dapat dipengaruhi oleh sejumlah faktor, termasuk ukuran cluster, jumlah pengguna yang mengakses cluster melalui Konsol Google Cloud (semakin banyak pengguna dan/atau beban kerja, semakin banyak permintaan), dan jumlah fitur yang mendukung fleet di cluster tersebut.