Ringkasan Connect Agent

Saat mendaftarkan cluster di luar Google Cloud ke fleet Anda, Google Cloud akan menggunakan Deployment yang disebut Agen Connect untuk membuat koneksi antara cluster dan project Google Cloud Anda, serta untuk menangani permintaan Kubernetes. Agen Connect tidak diperlukan untuk membuat koneksi ke cluster GKE yang berjalan di Google Cloud.

Hal ini memungkinkan akses ke fitur pengelolaan cluster dan workload di Google Cloud, termasuk antarmuka pengguna terpadu, Google Cloud Console, untuk berinteraksi dengan cluster Anda.

Jika jaringan Anda dikonfigurasi untuk mengizinkan permintaan keluar, Anda dapat mengonfigurasi Agen Connect untuk melintasi NAT, proxy keluar, dan firewall guna membuat koneksi terenkripsi jangka panjang antara server Kubernetes API cluster dan project Google Cloud Anda. Setelah koneksi ini diaktifkan, Anda dapat menggunakan kredensial Anda sendiri untuk login kembali ke cluster dan mengakses detail tentang resource Kubernetes-nya. Hal ini secara efektif mereplikasi pengalaman UI yang hanya tersedia untuk cluster GKE.

Setelah koneksi dibuat, software Connect Agent dapat bertukar kredensial akun, detail teknis, dan metadata tentang infrastruktur dan workload terhubung yang diperlukan untuk mengelolanya dengan Google Cloud, termasuk detail resource, aplikasi, dan hardware.

Data layanan cluster ini terkait dengan project dan akun Google Cloud Anda. Google menggunakan data ini untuk mempertahankan bidang kontrol antara cluster Anda dan Google Cloud, untuk menyediakan semua layanan dan fitur Google Cloud yang Anda minta, termasuk memfasilitasi dukungan, penagihan, penyediaan update, dan untuk mengukur serta meningkatkan keandalan, kualitas, kapasitas, dan fungsionalitas layanan Connect dan Google Cloud yang tersedia melalui Connect.

Anda tetap memegang kendali atas data yang dikirimkan melalui Connect: server Kubernetes API Anda menjalankan autentikasi, otorisasi, dan logging audit pada semua permintaan melalui Connect. Google dan pengguna dapat mengakses data atau API melalui Connect setelah mereka diberi otorisasi oleh administrator cluster (misalnya, melalui RBAC); administrator cluster dapat mencabut otorisasi tersebut.

Menghubungkan peran IAM

Dengan Identity and Access Management (IAM), pengguna, grup, dan akun layanan dapat mengakses Google Cloud API dan melakukan tugas dalam produk Google Cloud.

Anda perlu memberikan peran IAM tertentu untuk meluncurkan Agen Connect dan berinteraksi dengan cluster Anda menggunakan Google Cloud Console atau Google Cloud CLI. Peran ini tidak mengizinkan akses langsung ke cluster yang terhubung. Anda dapat mempelajari lebih lanjut cara login ke cluster dari Konsol Google Cloud dalam artikel Bekerja dengan cluster dari Konsol Google Cloud.

Beberapa peran ini memungkinkan Anda mengakses informasi tentang cluster, termasuk:

  • Nama cluster
  • Kunci publik
  • Alamat IP
  • Penyedia identitas
  • Versi Kubernetes
  • Ukuran cluster
  • Metadata cluster lainnya

Connect menggunakan peran IAM berikut:

Nama peran Jabatan Peran Deskripsi Izin
roles/gkehub.editor Editor Hub Menyediakan akses edit ke resource GKE Hub.

Izin untuk Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Izin untuk Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
roles/gkehub.viewer Hub Viewer Memberikan akses hanya baca ke Hub dan resource terkait.

Izin untuk Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Izin untuk Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
roles/gkehub.connect GKE Connect Agent Menyediakan kemampuan untuk membuat koneksi baru antara cluster eksternal dan Google. gkehub.endpoints.connect

Penggunaan dan persyaratan resource

Biasanya agen Connect yang diinstal saat pendaftaran menggunakan 500m CPU dan 200Mi memori. Namun, penggunaan ini dapat bervariasi tergantung pada jumlah permintaan yang dibuat ke agen per detik dan ukuran permintaan tersebut. Hal ini dapat dipengaruhi oleh sejumlah faktor, termasuk ukuran cluster, jumlah pengguna yang mengakses cluster melalui Konsol Google Cloud (semakin banyak pengguna dan/atau beban kerja, semakin banyak permintaan), dan jumlah fitur yang mendukung armada di cluster.