Menyiapkan gateway Connect

Panduan ini ditujukan untuk administrator platform yang perlu menyiapkan gateway Connect untuk digunakan oleh pengguna project dan akun layanan mereka. Penyiapan ini memungkinkan pengguna:

  • Gunakan konsol Google Cloud untuk login ke cluster terdaftar di luar Google Cloud dengan Google Cloud Identity.

  • Gunakan kubectl untuk mengakses cluster melalui gateway Connect.

Penyiapan ini hanya memungkinkan autentikasi pengguna dan layanan berdasarkan ID individual, bukan keanggotaan Google Grup mereka. Untuk menyiapkan dukungan grup tambahan, lihat Menyiapkan gateway Connect dengan Google Grup.

Jika Anda tidak terbiasa dengan gateway Connect, lihat ringkasan kami untuk mendapatkan penjelasan tentang konsep dasar dan cara kerjanya.

Sebelum memulai

  1. Pastikan Anda telah menginstal alat command line berikut:

    • Versi terbaru Google Cloud CLI, alat command line untuk berinteraksi dengan Google Cloud.
    • kubectl untuk menjalankan perintah pada cluster Kubernetes. Jika Anda perlu menginstal kubectl, ikuti instructions ini

    Jika Anda menggunakan Cloud Shell sebagai lingkungan shell untuk berinteraksi dengan Google Cloud, alat ini diinstal untuk Anda.

  2. initialize gcloud CLI untuk digunakan dengan project Anda, atau jalankan perintah berikut untuk memberikan otorisasi pada gcloud CLI dan menetapkan project Anda sebagai default:

    gcloud auth login
gcloud config set project PROJECT_ID

Peran IAM yang diperlukan untuk penyiapan

Panduan ini mengasumsikan bahwa Anda memiliki izin roles/owner dalam project Anda. Jika Anda bukan pemilik project, mintalah pemilik project untuk memberi Anda izin tambahan pada project tersebut sehingga Anda dapat melakukan tugas-tugas berikut:

  • Untuk mengaktifkan API, Anda memerlukan izin serviceusage.services.enable, yang disertakan dalam peran Admin Penggunaan Layanan (roles/serviceusage.serviceUsageAdmin). Pemilik project dapat membuat peran khusus dengan izin serviceusage.services.enable diaktifkan, atau memberi Anda roles/serviceusage.serviceUsageAdmin, sebagai berikut:

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member user:USER_EMAIL_ADDRESS \
   --role='roles/serviceusage.serviceUsageAdmin'

  • Untuk memberikan izin IAM kepada pengguna dan akun layanan agar mereka dapat menggunakan gateway Connect, Anda memerlukan peran Project IAM Admin (roles/resourcemanager.projectIamAdmin), yang dapat diberikan oleh pemilik project dengan perintah berikut:

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member user:USER_EMAIL_ADDRESS \
   --role='roles/resourcemanager.projectIamAdmin'

Mengaktifkan API

Untuk menambahkan gateway ke project Anda, aktifkan Connect gateway API dan API dependensi yang diperlukannya. Jika pengguna hanya ingin melakukan autentikasi ke cluster menggunakan Konsol Google Cloud, Anda tidak perlu mengaktifkan connectgateway.googleapis.com, tetapi perlu mengaktifkan API lainnya.

gcloud services enable --project=PROJECT_ID  \
    connectgateway.googleapis.com \
    anthos.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    cloudresourcemanager.googleapis.com

Memverifikasi cluster terdaftar

Hanya cluster yang terdaftar ke fleet project Anda yang dapat diakses melalui gateway Connect. Cluster GKE lokal dan di cloud publik lainnya akan otomatis terdaftar saat dibuat. Namun, cluster GKE di Google Cloud dan cluster terlampir harus didaftarkan secara terpisah. Jika Anda perlu mendaftarkan cluster, ikuti petunjuk dalam panduan pendaftaran cluster kami. Perlu diperhatikan bahwa cluster GKE harus terdaftar ke fleet agar dapat menggunakan gateway.

Untuk memverifikasi bahwa cluster telah terdaftar, jalankan perintah berikut:

gcloud container fleet memberships list

Anda akan melihat daftar semua cluster terdaftar, seperti dalam contoh output ini:

NAME         EXTERNAL_ID
cluster-1    0192893d-ee0d-11e9-9c03-42010a8001c1
cluster-2    f0e2ea35-ee0c-11e9-be79-42010a8400c2

Memberikan peran IAM kepada pengguna

Akses ke cluster dikontrol oleh Identity and Access Management (IAM). Peran IAM yang diperlukan untuk mengakses cluster menggunakan kubectl sedikit berbeda dengan peran untuk mengakses cluster di Konsol Google Cloud, seperti yang dijelaskan di bagian berikut.

Berikan peran untuk akses melalui kubectl

Setidaknya, pengguna dan akun layanan memerlukan peran IAM berikut untuk menggunakan kubectl agar dapat berinteraksi dengan cluster melalui gateway Connect, kecuali jika pengguna memiliki roles/owner dalam project:

  • roles/gkehub.gatewayAdmin: Peran ini memungkinkan pengguna mengakses Connect gateway API agar dapat menggunakan kubectl untuk mengelola cluster.

    • Jika pengguna hanya memerlukan akses hanya baca ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayReader sebagai gantinya.

    • Jika pengguna memerlukan akses baca / tulis ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayEditor.

  • roles/gkehub.viewer: Peran ini memungkinkan pengguna mengambil cluster kubeconfigs.

Untuk mengetahui detail tentang izin yang tercakup dalam peran ini, baca peran GKE Hub dalam dokumentasi IAM.

Anda dapat menggunakan perintah berikut untuk memberikan peran ini:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=GATEWAY_ROLE
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/gkehub.viewer

dengan:

  • MEMBER adalah akun pengguna atau akun layanan, yang memiliki format user|serviceAccount:emailID, misalnya:

    • user:alice@example.com
    • serviceAccount:test_sa@example-project.iam.gserviceaccount.com

  • GATEWAY_ROLE adalah roles/gkehub.gatewayAdmin, roles/gkehub.gatewayReader, atau roles/gkehub.gatewayEditor.

Anda dapat mempelajari lebih lanjut cara memberikan izin dan peran IAM dalam artikel Memberikan, mengubah, dan mencabut akses ke resource.

Memberikan peran untuk akses melalui Konsol Google Cloud

Pengguna yang ingin berinteraksi dengan cluster di luar Google Cloud menggunakan Google Cloud Console memerlukan peran IAM berikut setidaknya agar dapat melihat cluster:

  • roles/container.viewer. Peran ini memungkinkan pengguna melihat halaman Cluster GKE dan resource container lainnya di Konsol Google Cloud. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat peran Kubernetes Engine dalam dokumentasi IAM.

  • roles/gkehub.viewer. Peran ini memungkinkan pengguna melihat cluster di luar Google Cloud di Konsol Google Cloud. Perhatikan bahwa ini adalah salah satu peran yang diperlukan untuk akses kubectl. Jika sudah memberikan peran ini kepada pengguna, Anda tidak perlu memberikannya lagi. Untuk mengetahui detail izin yang disertakan dalam peran ini, lihat peran GKE Hub dalam dokumentasi IAM.

    Dalam perintah berikut, ganti PROJECT_ID dengan project ID dari project host fleet. Selain itu, ganti MEMBER dengan alamat email atau akun layanan pengguna menggunakan format user|serviceAccount:emailID, misalnya:

    • user:alice@example.com
    • serviceAccount:test_sa@example-project.iam.gserviceaccount.com
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/container.viewer
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/gkehub.viewer

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran IAM, baca artikel Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.

Mengonfigurasi otorisasi RBAC

Setiap server Kubernetes API cluster harus dapat mengizinkan permintaan yang berasal dari Google Cloud Console atau dari perintah kubectl yang berasal dari gateway Connect dari pengguna dan akun layanan yang Anda tentukan. Untuk memastikan hal ini, Anda perlu memperbarui kebijakan kontrol akses berbasis peran (RBAC) pada setiap cluster yang ingin dijadikan dapat diakses melalui gateway. Anda harus menambahkan atau memperbarui kebijakan berikut:

  • Kebijakan peniruan identitas yang memberikan otorisasi kepada Agen Connect untuk mengirim permintaan ke server Kubernetes API atas nama pengguna.
  • Kebijakan izin yang menentukan izin yang dimiliki pengguna di cluster. Peran ini dapat berupa peran level cluster seperti clusterrole/cluster-admin atau clusterrole/cloud-console-reader, atau peran level namespace seperti role/default/pod-reader.

(Opsional) Buat peran cloud-console-reader

Pengguna terautentikasi yang ingin mengakses resource cluster di konsol Google Cloud harus memiliki izin Kubernetes yang relevan untuk melakukannya. Jika tidak ingin memberikan izin yang lebih luas kepada pengguna tersebut, seperti izin admin cluster, Anda dapat membuat peran RBAC kustom yang mencakup izin minimum untuk melihat node, volume persisten, pod, dan kelas penyimpanan cluster. Anda dapat menentukan kumpulan izin ini dengan membuat resource RBAC ClusterRole, cloud-console-reader, dalam cluster.

cloud-console-reader memberikan izin get, list, dan watch kepada penggunanya di node cluster, volume persisten, pod, dan kelas penyimpanan, yang memungkinkan mereka melihat detail tentang resource ini.

kubectl

Untuk membuat cloud-console-reader ClusterRole dan menerapkannya ke cluster, jalankan perintah berikut:

cat <<EOF > cloud-console-reader.yaml
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: cloud-console-reader
rules:
- apiGroups: [""]
  resources: ["nodes", "persistentvolumes", "pods"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["storage.k8s.io"]
  resources: ["storageclasses"]
  verbs: ["get", "list", "watch"]
EOF
kubectl apply -f cloud-console-reader.yaml

Kemudian, Anda dapat memberikan peran ini kepada pengguna saat menyiapkan kebijakan izin, seperti yang dijelaskan di bagian berikutnya.

Membuat dan menerapkan kebijakan RBAC yang diperlukan

Berikut ini cara membuat dan menerapkan kebijakan RBAC yang diperlukan. Cara paling sederhana untuk melakukannya adalah dengan menggunakan gcloud CLI untuk membuat dan menerapkan kebijakan yang sesuai untuk Anda. Atau, jika ingin, Anda dapat membuat file kebijakan RBAC dan menerapkannya dengan kubectl.

gcloud

Untuk membuat dan menerapkan kebijakan ke cluster yang Anda pilih dengan gcloud CLI, jalankan perintah berikut:

gcloud container fleet memberships generate-gateway-rbac  \
    --membership=MEMBERSHIP_NAME \
    --role=ROLE \
    --users=USERS \
    --project=PROJECT_ID \
    --kubeconfig=KUBECONFIG_PATH \
    --context=KUBECONFIG_CONTEXT \
    --apply

Ganti kode berikut:

  • MEMBERSHIP_NAME: nama yang digunakan untuk merepresentasikan cluster secara unik dalam fleet-nya. Anda dapat mengetahui cara memeriksa nama keanggotaan cluster Anda di bagian Mendapatkan status keanggotaan fleet.
  • ROLE: peran Kubernetes yang ingin Anda berikan kepada pengguna di cluster, misalnya, clusterrole/cluster-admin, clusterrole/cloud-console-reader, atau role/mynamespace/namespace-reader. Peran ini harus sudah ada sebelum Anda menjalankan perintah.
  • USERS: alamat email pengguna (akun pengguna atau akun layanan) yang ingin Anda beri izin, sebagai daftar yang dipisahkan koma. Contoh: --users=foo@example.com,test-acct@test-project.iam.gserviceaccount.com.
  • PROJECT_ID: ID project tempat cluster terdaftar.
  • KUBECONFIG_PATH: jalur file lokal tempat kubeconfig Anda yang berisi entri untuk cluster disimpan. Umumnya, parameter tersebut adalah $HOME/.kube/config.

  • KUBECONFIG_CONTEXT: konteks cluster seperti yang ditampilkan dalam file kubeconfig. Anda bisa mendapatkan konteks saat ini dari command line dengan menjalankan kubectl config current-context. Terlepas dari apakah Anda menggunakan konteks saat ini atau tidak, pastikan konteks tersebut berfungsi untuk mengakses cluster dengan menjalankan perintah sederhana seperti:

    kubectl get namespaces \
  --kubeconfig=KUBECONFIG_PATH \
  --context=KUBECONFIG_CONTEXT

Setelah menjalankan gcloud container fleet memberships generate-gateway-rbac, Anda akan melihat sesuatu seperti berikut di akhir output:

connectgateway_example-project-12345_global_example-membership-name

Ini adalah konteks untuk mengakses cluster melalui gateway Connect.

Untuk mengetahui detail lebih lanjut tentang perintah generate-gateway-rbac, baca panduan referensi gcloud CLI.

Jika Anda melihat error seperti ERROR: (gcloud.container.hub.memberships) Invalid choice: 'generate-gateway-rbac' saat menjalankan perintah ini, update Google Cloud CLI dengan mengikuti panduan update.

kubectl

Contoh berikut menunjukkan cara membuat kebijakan yang sesuai untuk pengguna (foo@example.com) dan akun layanan (test@example-project.iam.gserviceaccount.com), yang memberi keduanya izin cluster-admin di cluster dan menyimpan file kebijakan sebagai /tmp/gateway-rbac.yaml. Kebijakan tersebut kemudian diterapkan ke cluster yang terkait dengan konteks saat ini:

cat <<EOF > /tmp/gateway-rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: gateway-impersonate
rules:
- apiGroups:
  - ""
  resourceNames:
  - foo@example.com
  - test@example-project.iam.gserviceaccount.com
  resources:
  - users
  verbs:
  - impersonate
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-impersonate
roleRef:
  kind: ClusterRole
  name: gateway-impersonate
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  name: connect-agent-sa
  namespace: gke-connect
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin
subjects:
- kind: User
  name: foo@example.com
- kind: User
  name: test@example-project.iam.gserviceaccount.com
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
EOF
# Apply policies to the cluster.
kubectl apply --kubeconfig=KUBECONFIG_PATH  -f /tmp/gateway-rbac.yaml

Anda dapat mengetahui lebih lanjut cara menentukan izin RBAC di artikel Menggunakan otorisasi RBAC.

Dukungan Kontrol Layanan VPC

Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk layanan Google Cloud yang tidak bergantung pada Identity and Access Management (IAM). Meskipun IAM mengaktifkan kontrol akses berbasis identitas yang terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, termasuk mengontrol traffic keluar data di seluruh perimeter. Misalnya, Anda dapat menentukan bahwa hanya project tertentu yang dapat mengakses data BigQuery Anda. Anda dapat menemukan lebih lanjut cara kerja Kontrol Layanan VPC untuk melindungi data Anda di Ringkasan Kontrol Layanan VPC.

Anda dapat menggunakan Kontrol Layanan VPC dengan gateway Connect untuk meningkatkan keamanan data, setelah memastikan bahwa API yang diperlukan untuk menggunakan gateway dapat diakses dari dalam perimeter layanan yang Anda tentukan.

Apa langkah selanjutnya?