Quando registri un cluster all'esterno di Google Cloud nel tuo parco risorse, Google Cloud utilizza un deployment denominato agente Connect per stabilire una connessione tra il cluster e il progetto Google Cloud e gestire le richieste Kubernetes. L'agente Connect non è necessario per stabilire una connessione per i cluster GKE in esecuzione su Google Cloud.
Ciò consente di accedere ai cluster e alle funzionalità di gestione dei carichi di lavoro in Google Cloud, compresa un'interfaccia utente unificata, la console Google Cloud, per interagire con il cluster.
Se la tua rete è configurata in modo da consentire le richieste in uscita, puoi configurare l'agente di connessione in modo che attraversi i NAT, i proxy in uscita e i firewall in modo da stabilire una connessione criptata di lunga durata tra il server API Kubernetes del cluster e il tuo progetto Google Cloud. Una volta abilitata questa connessione, puoi utilizzare le tue credenziali per accedere nuovamente ai tuoi cluster e accedere ai dettagli sulle rispettive risorse Kubernetes. che replica in modo efficace l'esperienza UI disponibile solo per i cluster GKE.
Una volta stabilita la connessione, il software Connect Agent può scambiare credenziali dell'account, dettagli tecnici e metadati sull'infrastruttura connessa e sui carichi di lavoro necessari per gestirli con Google Cloud, inclusi i dettagli di risorse, applicazioni e hardware.
Questi dati di servizio del cluster sono associati al tuo account e al tuo progetto Google Cloud. Google utilizza questi dati per mantenere un piano di controllo tra il cluster e Google Cloud, al fine di fornire all'utente tutti i servizi e le funzionalità Google Cloud richiesti, tra cui facilitare l'assistenza e la fatturazione, fornire aggiornamenti e misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità dei servizi Connect e Google Cloud disponibili tramite Connect.
Puoi continuare a controllare quali dati vengono inviati tramite Connect: il tuo server API Kubernetes esegue l'autenticazione, l'autorizzazione e l'audit logging su tutte le richieste tramite Connect. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo essere stati autorizzati dall'amministratore del cluster (ad esempio tramite RBAC); l'amministratore del cluster può revocare l'autorizzazione.
Connetti ruoli IAM
Identity and Access Management (IAM) consente a utenti, gruppi e account di servizio di accedere alle API Google Cloud e di eseguire attività all'interno dei prodotti Google Cloud.
Devi fornire ruoli IAM specifici per avviare l'agente Connect e interagire con il tuo cluster utilizzando la console Google Cloud o Google Cloud CLI. Questi ruoli non consentono l'accesso diretto ai cluster connessi. Per ulteriori informazioni sull'accesso ai cluster dalla console Google Cloud, consulta Utilizzare i cluster dalla console Google Cloud.
Alcuni di questi ruoli consentono di accedere alle informazioni sui cluster, tra cui:
- Nomi dei cluster
- Chiavi pubbliche
- Indirizzi IP
- Provider di identità
- Versioni di Kubernetes
- Dimensione cluster
- Altri metadati del cluster
Connect utilizza i seguenti ruoli IAM:
| Nome ruolo | Titolo del ruolo | Descrizione | Autorizzazioni |
|---|---|---|---|
roles/gkehub.editor |
Editor Hub | Fornisce l'accesso in modifica alle risorse GKE Hub. |
Autorizzazioni per Google Cloud
Autorizzazioni per l'hub
|
roles/gkehub.viewer |
Visualizzatore Hub | Fornisci l'accesso di sola lettura all'hub e alle risorse correlate. |
Autorizzazioni per Google Cloud
Autorizzazioni per l'hub
|
roles/gkehub.connect |
Agente GKE Connect | Consente di stabilire nuove connessioni tra cluster esterni e Google. | gkehub.endpoints.connect |
Utilizzo e requisiti delle risorse
Solitamente l'agente Connect installato al momento della registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare in base al numero di richieste inviate all'agente al secondo e alle dimensioni di queste richieste. Questo può essere influenzato da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la console Google Cloud (più utenti e/o carichi di lavoro, maggiore è il numero di richieste) e il numero di funzionalità abilitate per il parco risorse nel cluster.