Cluster über die Google Cloud Console verwalten

In diesem Dokument wird erläutert, wie Sie Administrator- und Nutzercluster, die mit der Google Distributed Cloud-Software auf Bare Metal erstellt wurden, für die Verwaltung in der Google Cloud Console verfügbar machen. Zu den Funktionen zur Clusterverwaltung gehören die Möglichkeit, sich bei Clustern anzumelden, Arbeitslasten anzuzeigen sowie Cluster zu aktualisieren, zu aktualisieren und zu löschen.

Mitglieder der Flotten und die Console

Alle Cluster müssen Mitglied einer Flotte sein. Das ist eine einheitliche Möglichkeit, mehrere Cluster und ihre Arbeitslasten anzuzeigen und zu verwalten. Jede Flotte von Clustern ist einem Flotten-Hostprojekt zugeordnet.

Alle Cluster werden bei der Erstellung bei einer Flotte registriert:

  • Wenn Sie einen Cluster mit bmctl erstellen, geben Sie das Hostprojekt Ihrer Flotte im Abschnitt gkeConnect der Clusterkonfigurationsdatei an. Der Cluster wird zu einem Flottenmitglied des angegebenen Projekts.

  • Wenn Sie einen Administrator- oder Nutzercluster mit einem Standard-GKE On-Prem API-Client (Console, Google Cloud CLI oder Terraform) erstellen, wird der Cluster zu einem Flottenmitglied im angegebenen Projekt.

Flottenmitglieder außerhalb von Google Cloud, z. B. Google Distributed Cloud, werden in der Console in Ihrem Flotten-Hostprojekt zusammen mit anderen Flottenclustern wie GKE in Google Cloud angezeigt. Ob und wie Sie Bare-Metal-Cluster über die Console verwalten können, hängt von folgenden Faktoren ab:

  • Wenn Sie die Authentifizierung eingerichtet haben, können Sie sich bei Ihren Clustern anmelden und deren Arbeitslasten und andere Details aufrufen.

  • Falls Sieaktiviert haben die Verwaltung des Clusterlebenszyklus für den Cluster können Sie Administrator- und Nutzercluster mit der Console aktualisieren und Nutzercluster mit der Console aktualisieren und löschen. Wenn diese Funktion nicht aktiviert ist, können Sie nur den Clusterlebenszyklus mit bmctl auf Ihrer Administratorworkstation verwalten.

Registrierte Cluster ansehen

Alle Ihre Cluster werden auf der Seite GKE-Cluster in der Console angezeigt. So erhalten Sie einen Überblick über Ihre gesamte Flotte und sehen bei Google Distributed Cloud, welche Cluster von der GKE On-Prem API verwaltet werden.

So rufen Sie Ihre Flottencluster auf:

  1. Rufen Sie in der Console die Seite Google Kubernetes Engine-Cluster auf.

    Zu GKE-Clustern

  2. Wählen Sie das Google Cloud-Projekt aus.

    • Wenn in der Spalte Typ Bare Metal angezeigt wird, wird der Cluster von der GKE On-Prem API verwaltet. Hinweis: Von der GKE On-Prem API können nur Administrator- und Nutzercluster verwaltet werden.

    • Wenn in der Spalte Typ Extern angezeigt wird, wird der Cluster nicht von der GKE On-Prem API verwaltet.

Wenn sie weitere Details zu einem Cluster sehen möchten, müssen Sie sich anmelden und beim Cluster authentifizieren. Gehen Sie dazu so vor:

Authentifizierung einrichten

Wie bereits erwähnt, werden alle Cluster in der Console auf der Seite „GKE-Cluster“ angezeigt. Um jedoch weitere Details wie Knoten und Arbeitslasten anzusehen (und den Clusterlebenszyklus auszuführen, wenn die Funktion aktiviert ist), müssen Sie sich anmelden und beim Cluster authentifizieren. Dazu müssen Ihre Cluster mit einer der folgenden Authentifizierungsmethoden eingerichtet werden:

  • Google-Identität: Mit dieser Option können Sie sich mit Ihrer Google Cloud-Identität anmelden. Das ist die E-Mail-Adresse, die mit Ihrem Google Cloud-Konto verknüpft ist. Verwenden Sie diese Option, wenn Nutzer bereits Zugriff auf Google Cloud mit einer Google-Identität haben. Wenn Sie den Cluster in in der Console erstellt haben, können Sie sich über Ihre Google-Identität anmelden, aber Sie müssen die Authentifizierung für andere Nutzer konfigurieren.

    Die Anmeldung mit einer Google-Identität ist die einfachste Authentifizierungsmethode in der Console. Daher haben wir die Einrichtung unter Google-Identitätsauthentifizierung einrichten ausführlich beschrieben.

  • OpenID Connect (OIDC): Mit dieser Option können Sie sich über die Console mit der Identität von Clustern über einen externen OIDC-Identitätsanbieter wie Okta oder Microsoft AD FS bei Clustern anmelden. Sie können diese Option verwenden, wenn Ihre Nutzer bereits Nutzernamen, Passwörter und Sicherheitsgruppenmitgliedschaften von Ihrem Anbieter haben. In den folgenden Anleitungen erfahren Sie, wie Sie die OIDC-Authentifizierung von Drittanbietern für Ihre Cluster einrichten:

  • Inhabertoken: Wenn die oben von Google bereitgestellten Lösungen für Ihre Organisation nicht geeignet sind, können Sie die Authentifizierung mit einem Kubernetes-Dienstkonto einrichten und sich mit dessen Inhabertoken anmelden. Weitere Informationen finden Sie unter Mit einem Inhabertoken einrichten.

Erforderliche Rollen gewähren

Der Zugriff auf die Console wird durch Identity and Access Management (IAM) gesteuert. Zum Verwalten des Clusterlebenszyklus in der Console müssen Sie Nutzern, die keine Projektinhaber sind, einige IAM-Rollen zuweisen:

  • Damit Nutzer auf die Console zugreifen können, müssen Sie ihnen mindestens die folgenden Rollen zuweisen:

    • roles/container.viewer: Mit dieser Rolle können Nutzer die GKE-Clusterseite und andere Containerressourcen in der Console aufrufen. Ausführliche Informationen zu den in dieser Rolle enthaltenen Berechtigungen und zum Zuweisen einer Rolle mit Lese-/Schreibberechtigungen finden Sie in der IAM-Dokumentation unter Kubernetes Engine-Rollen.

    • roles/gkehub.viewer Mit dieser Rolle können Nutzer die Cluster außerhalb von Google Cloud in der Console aufrufen. Ausführliche Informationen zu den in dieser Rolle enthaltenen Berechtigungen und zum Zuweisen einer Rolle mit Lese-/Schreibberechtigungen finden Sie in der IAM-Dokumentation unter GKE-Hub-Rollen.

  • Damit Nutzer den Clusterlebenszyklus in der Console verwalten können, müssen Sie die IAM-Rolle roles/gkeonprem.admin zuweisen. Die Die Rolle roles/gkeonprem.admin gewährt Nutzern Administratorzugriff auf die GKE On-Prem API, mit der die Console den Clusterlebenszyklus verwaltet. Weitere Informationen zu den in dieser Rolle enthaltenen Berechtigungen finden Sie in der IAM-Dokumentation unter GKE On-Prem-Rollen.

Die folgenden Befehle zeigen, wie Sie die minimalen Rollen zuweisen, die zum Verwalten des Clusterlebenszyklus in der Console erforderlich sind:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/container.viewer

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/gkehub.viewer

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/gkeonprem.admin

Dabei gilt:

  • PROJECT_ID ist das Flottenhostprojekt. Für Cluster, die mit bmctl erstellt wurden, ist dies das Projekt, das Sie im Abschnitt gkeConnect der Konfigurationsdatei des Nutzerclusters konfiguriert haben. Bei Clustern, die in der Console erstellt wurden, ist dies das Projekt, das Sie beim Erstellen des Clusters ausgewählt haben.

  • MEMBER ist die E-Mail-Adresse des Nutzers im Format user:emailID, z. B. user:alice@example.com.

Clusterlebenszyklusverwaltung in der Console aktivieren

Administrator- und Nutzercluster, die mit Standardtools (Console, gcloud CLI oder Terraform) erstellt wurden, werden automatisch in der GKE On-Prem API registriert. So können Sie Clusterlebenszyklusverwaltungsaufgaben in der Console ausführen. Wenn Sie in Google Distributed Cloud 1.16 und höher Nutzer- und Administratorcluster mit bmctl erstellen, werden diese standardmäßig in der GKE On-Prem API registriert. Wenn Sie einen Cluster in der GKE On-Prem API registrieren müssen, folgen Sie der Anleitung unter Cluster konfigurieren, der von der GKE On-Prem API verwaltet werden soll.

Google-Identitätsauthentifizierung einrichten

Damit sich Nutzer mit ihrer Google-Identität im Cluster anmelden können, müssen Sie Folgendes konfigurieren:

  • Nutzer benötigen bestimmte IAM-Rollen (Identity and Access Management), um Cluster in der Console auf der Seite der GKE-Cluster sehen und mit diesen interagieren zu können.

  • Nutzer müssen den Richtlinien der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) von Kubernetes hinzugefügt werden, auf die das Connect-Gateway über den Kubernetes API-Server des Clusters den Connect-Agent zugreifen muss.

RBAC-Autorisierung konfigurieren

Der Kubernetes API-Server jedes Clusters muss Anfragen von der Console autorisieren. Um die Autorisierung zu konfigurieren, müssen Sie Richtlinien für die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) von Kubernetes für Nutzer in jedem Cluster konfigurieren. In den folgenden Fällen wird Ihr Google-Konto als Administrator mit Vollzugriff auf einen Nutzercluster hinzugefügt:

  • Sie haben den Nutzercluster in der Console erstellt.

  • Sie haben den Nutzercluster mit der gcloud CLI erstellt und Ihr Google-Konto wurde im Flag --admin-users des Befehls zur Clustererstellung angegeben.

  • Sie haben den Nutzercluster mit Terraform erstellt und Ihr Google-Konto wurde im Feld authorization.admin_users.username angegeben.

  • Sie haben den Nutzercluster mit bmctl erstellt und Ihr Google-Konto unter clusterSecurity.authorization.clusterAdmin.gcpAccounts konfiguriert.

Sie können nach dem Erstellen des Clusters andere als Administratoren hinzufügen. Sie haben folgende Möglichkeiten, Administratorzugriff auf die Cluster zu gewähren. Es werden zwei verschiedene gcloud-Befehle bereitgestellt.

  • Der Befehl gcloud ... generate-gateway-rbac muss auf Ihrer Administrator-Workstation ausgeführt werden, da der Befehl Zugriff auf die kubeconfig und den Kontext des Clusters benötigt (die in der Regel nur auf Ihrer Administrator-Workstation verfügbar sind). Mit dem Befehl generate-gateway-rbac können Sie die RBAC-Richtlinien anpassen. Die E-Mail-Adressen der Nutzer werden jedoch nicht als Administratoren im Abschnitt Clusterdetails der Console angezeigt.

  • Der Befehl gcloud ... update kann auf einer beliebigen Administratorworkstation oder einen beliebigen Computer mit Zugriff auf die GKE On-Prem API ausgeführt werden.

Wenn Sie einen Administratorcluster in der Google Cloud Console erstellt haben, erhalten Sie Lesezugriff auf den Cluster. Wenn Sie die Rolle clusterrole/cluster-admin erhalten möchten, muss jemand mit dieser Rolle Sie mithilfe des Befehls gcloud ... generate-gateway-rbac hinzufügen.

generate-gateway-rbac

Führen Sie die folgenden Schritte auf Ihrer Administrator-Workstation aus, um die RBAC-Richtlinien auf Nutzer anzuwenden:

  1. Führen Sie den folgenden Befehl aus, um die Komponenten bei Bedarf zu aktualisieren:

    gcloud components update

  2. Generieren Sie die RBAC-Richtlinien für Nutzer und Dienstkonten und wenden Sie sie auf Ihren Cluster an:

    gcloud container fleet memberships generate-gateway-rbac  \
    --membership=MEMBERSHIP_NAME \
    --role=ROLE \
    --users=USERS \
    --project=PROJECT_ID \
    --kubeconfig=KUBECONFIG_PATH \
    --context=KUBECONFIG_CONTEXT \
    --apply

    Ersetzen Sie dabei Folgendes:

    • MEMBERSHIP_NAME: der Name, der zur eindeutigen Darstellung des Clusters in seiner Flotte verwendet wird. In Google Distributed Cloud sind der Name der Mitgliedschaft und der Clustername identisch.
    • ROLE: die Kubernetes-Rolle, die Sie den Nutzern auf dem Cluster gewähren. Wenn Sie Nutzern vollständigen Zugriff auf alle Ressourcen im Cluster in allen Namespaces gewähren möchten, geben Sie clusterrole/cluster-admin an. Um schreibgeschützten Zugriff zu gewähren, geben Sie clusterrole/view an. Erstellen Sie eine benutzerdefinierte Rolle, um den Zugriff einzuschränken. Beispiel: role/mynamespace/namespace-reader. Die benutzerdefinierte Rolle muss bereits vorhanden sein, bevor Sie den Befehl ausführen.
    • USERS: Die E-Mail-Adressen der Nutzer (Nutzerkonten oder Dienstkonten), denen Sie Berechtigungen erteilen möchten, als durch Kommas getrennte Liste. Beispiel: --users=222larabrown@gmail.com,test-acct@test-project.iam.gserviceaccount.com.
    • PROJECT_ID: die Projekt-ID des Hostprojekts der Flotte.
    • KUBECONFIG_PATH: der lokale Pfad der kubeconfig-Datei, die einen Eintrag für den Cluster enthält.

    • KUBECONFIG_CONTEXT ist der Clusterkontext des Clusters, wie er in der Datei „kubeconfig” angezeigt wird. Sie können den aktuellen Kontext über die Befehlszeile abrufen, indem Sie kubectl config current-context ausführen. Unabhängig davon, ob Sie den aktuellen Kontext verwenden oder nicht, achten Sie darauf, dass er für den Zugriff auf den Cluster funktioniert. Führen Sie dazu einen einfachen Befehl wie den folgenden aus:

      kubectl get namespaces \
  --kubeconfig=KUBECONFIG_PATH \
  --context=KUBECONFIG_CONTEXT

    Nach der Ausführung von gcloud container fleet memberships generate-gateway-rbac wird am Ende der Ausgabe etwa Folgendes angezeigt, das zur besseren Lesbarkeit gekürzt ist:

    Validating input arguments.
Specified Cluster Role is: clusterrole/cluster-admin
Generated RBAC policy is:
--------------------------------------------
...
Applying the generate RBAC policy to cluster with kubeconfig: /usr/local/google/home/foo/.kube/config, context: kind-kind
Writing RBAC policy for user: foo@example.com to cluster.
Successfully applied the RBAC policy to cluster.

    Dies ist der Kontext für den Zugriff auf den Cluster über das Connect-Gateway.

    Weitere Informationen zum Befehl generate-gateway-rbac finden Sie im Referenzhandbuch für die gcloud-Befehlszeile.

update

  1. Führen Sie den folgenden Befehl aus, um die Komponenten zu aktualisieren:

    gcloud components update

  2. Fügen Sie für jeden Nutzer, dem die Rolle clusterrole/cluster-admin zugewiesen werden muss, das Flag --admin-users ein und führen Sie den folgenden Befehl aus. Sie können nicht mehrere Nutzer in einem einzigen Flag angeben. Geben Sie Ihr Google-Konto in den Befehl ein, da die Berechtigungsliste durch die im Befehl angegebenen Nutzer überschrieben wird.

    gcloud container bare-metal clusters update USER_CLUSTER_NAME \
  --admin-users YOUR_GOOGLE_ACCOUNT \
  --admin-users ADMIN_GOOGLE_ACCOUNT_1 \

Zusätzlich zur Zuweisung der Kubernetes-Rolle clusterrole/cluster-admin gewährt der Befehl die RBAC-Richtlinien, die die Nutzer für den Zugriff auf den Cluster über das Connect-Gateway benötigen.

bmctl

Führen Sie die folgenden Schritte auf Ihrer Administrator-Workstation aus, um die RBAC-Richtlinien auf Nutzer anzuwenden:

  1. Fügen Sie der Clusterkonfigurationsdatei den Abschnitt clusterSecurity.authorization hinzu. Geben Sie Ihre E-Mail-Adresse und die E-Mail-Adresse anderer Nutzer an, die den Cluster verwalten müssen. Beispiel:

    ...
clusterSecurity:
  authorization:
    clusterAdmin:
      gcpAccounts: [alex@example.com,hao@example.com,sasha@example.com]
...

  2. Aktualisieren Sie den Cluster:

    bmctl update cluster \
    -c CLUSTER_NAME \
    --kubeconfig=KUBECONFIG

    Nehmen Sie die folgenden Änderungen vor:

    • Ersetzen Sie CLUSTER_NAME durch den Namen des Clusters, den Sie aktualisieren möchten.
    • Wenn es sich um einen selbstverwalteten Cluster handelt (z. B. einen Administrator- oder eigenständigen Cluster), ersetzen Sie KUBECONFIG durch den Pfad zur kubeconfig-Datei des Clusters. Wenn es sich um einen Nutzercluster handelt, ersetzen Sie KUBECONFIG durch den Pfad zur kubeconfig-Datei des admin.

Console

Führen Sie die folgenden Schritte in der Console aus, um die RBAC-Richtlinien auf Nutzer anzuwenden:

  1. Rufen Sie in der Console die Seite Google Kubernetes Engine-Cluster auf.

    Zu GKE-Clustern

  2. Wählen Sie das Google Cloud-Projekt aus, in dem sich der Nutzercluster befindet.

  3. Klicken Sie in der Clusterliste auf den Namen des Clusters und dann im Bereich Details auf Details ansehen.

  4. Klicken Sie im Abschnitt Autorisierung auf das Feld Administratornutzer und geben Sie die E-Mail-Adressen jedes Nutzers ein.

  5. Wenn Sie keine weiteren Nutzer mehr hinzufügen möchten, klicken Sie auf Fertig.

Weitere Informationen