Gestire le risorse GKE utilizzando i tag

Questa pagina mostra come utilizzare i tag per gestire ai cluster Google Kubernetes Engine (GKE) e ad applicare Identity and Access Management in modo condizionale ai nodi.

Panoramica

I tag sono coppie chiave-valore che ti consentono di annotare e gestire a livello di organizzazione o di progetto. Puoi utilizzare la modalità Tag per organizzare le risorse e applicare in modo condizionale come firewall o criteri IAM. Tag supportare il controllo dell'accesso IAM, che consente di definire chi può allegare, creare, aggiornare o eliminare Tag.

Casi d'uso dei tag in GKE

Puoi usare i tag in GKE in situazioni come le seguenti:

• Applica il firewall di rete in modo condizionale a nodi specifici. Ad esempio, nega il traffico in entrata internet pubblico a tutti i nodi di un cluster in fase di gestione temporanea o di test ambienti cloud-native. Per istruzioni, vedi Applica in modo selettivo i criteri firewall di rete in GKE.
• Concedi i ruoli IAM in modo condizionale in base ai tag. Ad esempio, concedi automaticamente ai contrattisti l'accesso a specifiche ambienti che normalmente sarebbero disponibili solo per i dipendenti a tempo pieno. Per istruzioni, consulta la parte restante di questo documento.
• Controllo e analisi dei dati di fatturazione in base ai tag applicati a livello di progetto o organizzazione.

Come funziona

Per l'applicazione specifica del criterio firewall di rete, devi creare un tag designare esplicitamente il tag per l'uso del firewall. Per tutti gli altri scopi, creare un tag senza impostare una designazione di firewall.

Dopo aver creato il tag, lo colleghi a GKE risorse come coppia chiave-valore. Per i criteri firewall di rete, utilizzi l'API GKE, mentre per tutti gli altri scopi utilizzerai l'API Tag.

Per ogni chiave, puoi collegare un valore una risorsa. Ad esempio, se hai collegato env:dev a un cluster GKE puoi collegare anche env:prod o env:test. Puoi collegare fino a 50 tag non firewall e fino a cinque firewall Tag per ogni risorsa.

Metodi di annotazione delle risorse in GKE

In GKE, esistono diversi metodi per annotare le risorse, come descritti nella seguente tabella:

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

• Attiva l'API Google Kubernetes Engine.
Abilita l'API Google Kubernetes Engine
• Se vuoi utilizzare Google Cloud CLI per questa attività, install e poi inizializzare con gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.

• Assicurati di disporre dei seguenti ruoli IAM:

  • roles/resourcemanager.tagAdmin
  • roles/resourcemanager.tagUser

  Per informazioni sulle autorizzazioni concesse da questi ruoli, consulta Autorizzazioni obbligatorie.

• Assicurati di avere un cluster GKE in esecuzione.

Collega tag a un cluster

Puoi collegare i tag a un cluster esistente se disponi dei token corretti le autorizzazioni utilizzando Google Cloud CLI, la console Google Cloud, o Terraform.

gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": "RESOURCE_ID",
  "tagValue": "TAG_VALUE_ID"
}

{
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding",
    "name": "tagBindings///container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME/tagValues/TAG_VALUE_ID",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-tag"
  location = "us-central1"

  enable_autopilot = true

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

data "google_project" "default" {}

resource "google_tags_tag_key" "default" {
  parent      = "projects/${data.google_project.default.project_id}"
  short_name  = "env"
  description = "Environment tag key"
}

resource "google_tags_tag_value" "default" {
  parent      = "tagKeys/${google_tags_tag_key.default.name}"
  short_name  = "dev"
  description = "Development environment tag value."
}

resource "google_tags_location_tag_binding" "default" {
  parent    = "//container.googleapis.com/${google_container_cluster.default.id}"
  location  = google_container_cluster.default.location
  tag_value = "tagValues/${google_tags_tag_value.default.name}"
}

Elenco dei tag collegati a un cluster

Puoi elencare i tag collegati a un cluster utilizzando il metodo gcloud CLI, la console Google Cloud o l'API Tag.

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": RESOURCE_ID,
}

"tagBindings": [
  {
    "name": "tagBindings/%2F%2Fcontainer.googleapis.com%2Fprojects%2Ftags-bugbash-project%2Flocations%2LOCATION%2Fclusters%2Ftestcluster/tagValues/758072120217",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
]

Scollega i tag da un cluster

Puoi scollegare un tag da un cluster eliminando la risorsa di associazione di tag collegate al cluster tramite gcloud CLI, console Google Cloud o l'API Tag. Se devi eliminare un tag, deve prima scollegarsi da tutte le risorse collegate.

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAG_BINDING_NAME

Elimina chiavi e valori dei tag

Prima di eliminare le chiavi e i valori dei tag, assicurati che i tag siano scollegati a tutte le risorse. Quindi, vedi Eliminare i tag per eliminare le chiavi e i valori.

Condizioni e tag di Identity and Access Management

Puoi utilizzare tag e condizioni IAM per concedere il ruolo in modo condizionale associazioni a utenti nella gerarchia del progetto. Quando modifichi o elimini il tag collegato a un cluster, GKE può rimuovere l'accesso degli utenti a quel cluster se è stato eseguito un criterio di autorizzazione IAM con associazioni di ruoli condizionali applicati.

L'autorizzazione a elencare e creare cluster GKE è verificata in a livello di progetto, non a livello di singolo cluster. Se utilizzi le regole Associazioni di ruoli IAM con tag a livello di cluster per limitare l'accesso a cluster specifici, questi utenti potrebbero riscontrare errori quando tentano di elencare o creare cluster nel progetto. Per evitare questi errori, allega un tag alla progetto padre e utilizza un'associazione condizionale di ruoli per concedere l'elenco o creare l'accesso. Per informazioni su ruoli e autorizzazioni, consulta Riferimento per i ruoli IAM.

Per saperne di più sulle concessioni dell'accesso condizionale in IAM, consulta Condizioni e tag di Identity and Access Management.

Passaggi successivi

• Scopri come impostare un criterio dell'organizzazione con Tag.
• Scopri di più su come gestire i tag e associarli a Google Cloud.
• Scopri gli altri servizi che supportano i tag.
• Scopri come utilizzare i tag con IAM.