Connect Agent – Übersicht

Wenn Sie einen Cluster außerhalb von Google Cloud für Ihre Flotte registrieren, verwendet Google Cloud eine Bereitstellung namens Connect Agent, um eine Verbindung zwischen dem Cluster und Ihrem Google Cloud-Projekt herzustellen und um Kubernetes-Anfragen zu bearbeiten. Der Connect-Agent ist nicht erforderlich, um eine Verbindung für GKE-Cluster herzustellen, die in Google Cloud ausgeführt werden.

Dies ermöglicht den Zugriff auf Features zur Cluster- und Arbeitslastverwaltung in Google Cloud, einschließlich einer einheitlichen Benutzeroberfläche (Google Cloud Console), um mit Ihrem Cluster zu interagieren.

Wenn Ihr Netzwerk so konfiguriert ist, dass ausgehende Anfragen zugelassen werden, können Sie den Connect-Agent so konfigurieren, dass er NATs, ausgehende Proxys und Firewalls durchläuft, um eine langlebige, verschlüsselte Verbindung zwischen dem Kubernetes API-Server Ihres Clusters herzustellen und Google Cloud-Projekt zu konfigurieren. Sobald diese Verbindung aktiviert ist, können Sie Ihre eigenen Anmeldedaten verwenden, um sich bei Ihren Clustern anzumelden und auf Details zu ihren Kubernetes-Ressourcen zuzugreifen. Auf diese Weise wird die UI, die sonst nur für GKE-Cluster verfügbar ist, repliziert.

Sobald die Verbindung hergestellt ist, kann die Connect Agent-Software Kontodaten, technische Details und Metadaten über die verbundene Infrastruktur und Arbeitslasten austauschen, die für die Verwaltung mit Google Cloud erforderlich sind, einschließlich der Details zu Ressourcen, Anwendungen, und Hardware.

Diese Clusterdienstdaten sind mit Ihrem Google Cloud-Projekt und -Konto verknüpft. Google verwendet diese Daten, um eine Steuerungsebene zwischen Ihrem Cluster und Google Cloud aufrechtzuerhalten. So haben Sie Zugriff auf alle von Ihnen angeforderten Google Cloud-Dienste und -Funktionen, darunter Unterstützung sowie Support, Abrechnung, Updates und Messungen. und die Zuverlässigkeit, Qualität, Kapazität und Funktion von Connect- und Google Cloud-Diensten verbessern, die über Connect verfügbar sind.

Sie behalten die Kontrolle darüber, welche Daten über GKE Connect gesendet werden: Ihr Kubernetes API-Server stellt die Authentifizierung, die Autorisierung und das Audit-Logging aller Anfragen über GKE Connect sicher. Google und Nutzer können über GKE Connect auf Daten oder APIs zugreifen, nachdem sie vom Clusteradministrator autorisiert wurden (z. B. über RBAC). Der Clusteradministrator kann diese Berechtigung widerrufen.

IAM-Rollen verbinden

Mithilfe der Identitäts- und Zugriffsverwaltung (IAM) können Nutzer, Gruppen und Dienstkonten auf Google Cloud APIs zugreifen und Aufgaben in Google Cloud-Produkten ausführen.

Sie müssen bestimmte IAM-Rollen angeben, um den Connect-Agent zu starten und über die Google Cloud Console oder das Google Cloud CLI mit Ihrem Cluster zu interagieren. Diese Rollen ermöglichen keinen direkten Zugriff auf verbundene Cluster. Weitere Informationen zur Anmeldung bei Clustern über die Google Cloud Console finden Sie unter Über die Google Cloud Console mit Clustern arbeiten.

Mit einigen dieser Rollen können Sie auf Informationen zu Clustern zugreifen, darunter:

  • Clusternamen
  • Öffentliche Schlüssel
  • IP-Adressen
  • Identitätsanbieter
  • Kubernetes-Versionen
  • Clustergröße
  • Andere Cluster-Metadaten

Connect verwendet die folgenden IAM-Rollen:

Rollenname Rollentitel Beschreibung Berechtigungen
roles/gkehub.editor Hub-Bearbeiter Bietet Bearbeitungszugriff auf GKE-Hub-Ressourcen.

Berechtigungen für Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Berechtigungen für Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
roles/gkehub.viewer Hub-Betrachter Bietet Lesezugriff auf Hub und zugehörige Ressourcen.

Berechtigungen für Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Berechtigungen für Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
roles/gkehub.connect GKE-Connect-Agent Bietet die Möglichkeit, neue Verbindungen zwischen externen Clustern und Google herzustellen. gkehub.endpoints.connect

Ressourcennutzung und Anforderungen

In der Regel benötigt der Connect-Agent bei der Registrierung 500 CPU und 200 Mi Speicher. Die Verwendung hängt jedoch von der Anzahl der Anfragen, die pro Sekunde an den Agent gesendet werden, und von der Größe dieser Anfragen ab. Dies kann durch eine Reihe von Faktoren beeinflusst werden, z. B. über die Größe des Clusters, die Anzahl der Nutzer, die über die Google Cloud Console auf den Cluster zugreifen (je mehr Nutzer und/oder Arbeitslasten, desto mehr Anfragen) und die Anzahl der Flotten-aktivierten Funktionen im Cluster.