设置 Connect 网关

本指南适用于需要设置 Connect 网关供其项目用户和服务帐号使用的平台管理员。在阅读本指南之前,您应该先熟悉我们的概览中的概念。

从 Cloud Console 登录到集群中所述,此设置让用户既可以直接使用 Connect 网关,又可以使用 Cloud Console 中的 Google Cloud 身份连接到 Google Cloud 之外的已注册集群。

准备工作

  • 确保您已安装以下命令行工具:

    • 最新版本的 Cloud SDK,其中包含用于与 Google Cloud 交互的命令行工具 gcloud
    • kubectl

    如果您使用 Cloud Shell 作为与 Google Cloud 交互的 Shell 环境,则系统会为您安装这些工具。

  • 确保您已初始化用于您的项目的 gcloud 命令行工具。

  • 本指南假设您在项目中具有 roles/owner。如果您不是项目所有者,则可能还需要其他权限才能执行部分设置步骤。

启用 API

如需将网关添加到您的项目中,请启用 Connect 网关 API 及其必需的依赖项 API。如果您的用户只想使用 Cloud Console 对集群进行身份验证,则无需启用 connectgateway.googleapis.com,但需要启用其余的 API。

PROJECT_ID=example_project
gcloud services enable --project=${PROJECT_ID}  \
connectgateway.googleapis.com \
anthos.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
cloudresourcemanager.googleapis.com

验证已注册的集群

只能通过 Connect 网关访问已向您的项目环境注册的集群。Anthos clusters on premises 和 Anthos clusters on AWS 会在创建时自动注册。但是,Google Cloud 上的 GKE 集群和附加的集群必须单独注册。如果您需要注册集群,请按照注册集群中的说明操作。

如需验证集群是否已注册,请运行以下命令:

gcloud container hub memberships list

您应该会看到所有已注册集群的列表,如以下示例输出所示:

NAME         EXTERNAL_ID
cluster-1    0192893d-ee0d-11e9-9c03-42010a8001c1
cluster-2    f0e2ea35-ee0c-11e9-be79-42010a8400c2

向用户授予 IAM 角色

用户和服务帐号需要以下附加 Google Cloud 角色才能通过网关与连接的集群交互,除非用户或帐号在项目中具有 roles/owner

  • roles/gkehub.gatewayAdmin。此角色允许用户访问 Connect 网关 API。
  • roles/gkehub.viewer。此角色允许用户检索集群凭据。

您可以使用 gcloud projects add-iam-policy-binding 命令授予这些角色,如下所示:


# [PROJECT_ID] is the project's unique identifier.
# [USER_ACCOUNT] is an email address, either USER_EMAIL_ADDRESS or GCPSA_EMAIL_ADDRESS
# [USER_EMAIL_ADDRESS] is the Google Cloud account used to interact with clusters via the CGW API.
# [GCPSA_EMAIL_ADDRESS] is the identity used for interacting with the CGW API and cluster.

PROJECT_ID=example_project

# MEMBER should be of the form `user|serviceAccount:$USER_ACCOUNT`, for example:
# MEMBER=user:foo@example.com
# MEMBER=serviceAccount:test@example-project.iam.gserviceaccount.com

MEMBER=user:foo@example.com

gcloud projects add-iam-policy-binding ${PROJECT_ID} \
--member ${MEMBER} \
--role roles/gkehub.gatewayAdmin
gcloud projects add-iam-policy-binding ${PROJECT_ID} \
--member ${MEMBER} \
--role roles/gkehub.viewer

如需详细了解如何授予 IAM 权限和角色,请参阅授予、更改和撤消对资源的访问权限

授予通过 Cloud Console 进行访问的角色

对于只想使用 Cloud Console 与连接的集群进行交互的用户,需要以下角色:

  • roles/gkehub.viewer。此角色允许用户在 GKE 控制台页面中查看集群。
  • roles/container.viewer。此角色允许用户在 Cloud Console 中查看容器资源。

配置基于角色的访问权限控制 (RBAC) 政策

最后,每个集群的 Kubernetes API 服务器必须能够对来自指定用户和服务帐号且通过网关的 kubectl 命令授权。为此,您需要在要设为可通过网关访问的每个集群上更新 RBAC 政策。您需要更新或添加两个政策:

  • 模拟政策,用于授权 Connect 代理代表用户向 Kubernetes API 服务器发送请求。以下示例展示了如何为用户创建和应用此类政策,将政策文件保存为 /tmp/impersonate.yaml,并将其应用于与当前上下文关联的集群:
# [USER_ACCOUNT] is an email, either USER_EMAIL_ADDRESS or GCPSA_EMAIL_ADDRESS
USER_ACCOUNT=foo@example.com
cat <<EOF > /tmp/impersonate.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: gateway-impersonate
rules:
- apiGroups:
  - ""
  resourceNames:
  - ${USER_ACCOUNT}
  resources:
  - users
  verbs:
  - impersonate
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-impersonate
roleRef:
  kind: ClusterRole
  name: gateway-impersonate
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  name: connect-agent-sa
  namespace: gke-connect
EOF
# Apply impersonation policy to the cluster.
kubectl apply -f /tmp/impersonate.yaml

请注意,这无法确保请求本身会获得 API 服务器的授权。为此,您还需要明确向特定用户授予执行 Kubernetes 操作所需的适当 RBAC 权限,如下所述。

  • 权限政策:用于指定用户对集群拥有哪些权限。以下示例展示了如何向用户授予针对集群的 cluster-admin 权限,将政策文件保存为 /tmp/admin-permission.yaml,并将其应用于与当前上下文关联的集群。
cat <<EOF > /tmp/admin-permission.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin
subjects:
- kind: User
  name: ${USER_ACCOUNT}
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
EOF
# Apply permission policy to the cluster.
kubectl apply -f /tmp/admin-permission.yaml

如需详细了解如何指定 RBAC 权限,请参阅使用 RBAC 授权

VPC Service Controls 支持

VPC Service Controls 为 Google Cloud 服务提供一层额外的、独立于 Identity and Access Management (IAM) 的安全防御。IAM 实现了精细基于身份的访问权限控制,而 VPC Service Controls 可实现更广泛的基于上下文的边界安全性,包括控制跨边界数据出站流量。例如,您可以指定只有某些项目可以访问您的 BigQuery 数据。您可以参阅 VPC Service Controls 概览,详细了解 VPC Service Controls 如何保护您的数据。

在确保可以从指定的服务边界访问使用 Connect 网关所需的 API 后,您可以将 VPC Service Controls 与该网关结合使用以提高数据安全性。

后续步骤