GKE-Ressourcen mit Tags verwalten

Auf dieser Seite erfahren Sie, wie Sie Tags verwenden, um Ihre GKE-Cluster (Google Kubernetes Engine) zu verwalten und Richtlinien für die Identitäts- und Zugriffsverwaltung bedingt auf Knoten anzuwenden.

Übersicht

Tags sind Schlüssel/Wert-Paare, mit denen Sie Google Cloud-Ressourcen auf Organisations- oder Projektebene annotieren und verwalten können. Mit Tags können Sie Ihre Ressourcen organisieren und Richtlinien wie Firewalls oder IAM-Richtlinien bedingt anwenden. Tags unterstützen die IAM-Zugriffssteuerung, mit der Sie festlegen können, wer Tags anhängen, erstellen, aktualisieren oder löschen kann.

Anwendungsfälle für Tags in GKE

Sie können Tags in GKE für Situationen wie die folgenden verwenden:

• Netzwerk-Firewallrichtlinien bedingt auf bestimmte Knoten anwenden. Verweigern Sie beispielsweise eingehenden Traffic aus dem öffentlichen Internet zu allen Knoten eines Clusters in Staging- oder Testumgebungen. Eine Anleitung finden Sie unter Netzwerk-Firewallrichtlinien selektiv in GKE erzwingen.
• IAM-Rollen bedingt anhand von Tags zuweisen. Gewähren Sie Auftragnehmern beispielsweise automatisch Zugriff auf bestimmte Umgebungen, die normalerweise nur Vollzeitmitarbeitern zur Verfügung stehen. Eine Anleitung finden Sie im Rest dieses Dokuments.
• Audit-Informationen basierend auf angewendeten Tags auf Projekt- oder Organisationsebene prüfen und analysieren.

Funktionsweise

Insbesondere bei der Durchsetzung von Netzwerk-Firewallrichtlinien erstellen Sie ein Tag und legen das Tag explizit für die Firewall fest. In allen anderen Fällen erstellen Sie ein Tag ohne Festlegung einer Firewall.

Nachdem Sie das Tag erstellt haben, hängen Sie das Tag als Schlüssel/Wert-Paar an Ihre GKE-Ressourcen an. Für Netzwerk-Firewallrichtlinien verwenden Sie die GKE API. Für alle anderen Zwecke verwenden Sie die Tags API.

Für jeden Schlüssel können Sie einen Wert an eine Ressource anhängen. Wenn Sie beispielsweise env:dev an einen GKE-Cluster angehängt haben, können Sie nicht env:prod oder env:test anhängen. Sie können jeder Ressource bis zu 50 Tags ohne Firewall und bis zu fünf Firewall-Tags hinzufügen.

Methoden zur Ressourcenannotation in GKE

In GKE gibt es mehrere Methoden, um Ihre Ressourcen mit Annotationen zu versehen, wie in der folgenden Tabelle dargestellt:

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

• Aktivieren Sie die Google Kubernetes Engine API.
Google Kubernetes Engine API aktivieren
• Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit gcloud components update ab.

• Prüfen Sie, ob Sie die folgenden IAM-Rollen haben:

  • roles/resourcemanager.tagAdmin
  • roles/resourcemanager.tagUser

  Informationen zu den durch diese Rollen gewährten Berechtigungen finden Sie unter Erforderliche Berechtigungen.

• Prüfen Sie, ob ein GKE-Cluster ausgeführt wird.

Tags an einen Cluster anhängen

Sie können Tags an einen vorhandenen Cluster anhängen, wenn Sie die entsprechenden Berechtigungen haben. Verwenden Sie dazu die Google Cloud CLI, die Google Cloud Console, die Tags API oder Terraform.

gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": "RESOURCE_ID",
  "tagValue": "TAG_VALUE_ID"
}

{
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding",
    "name": "tagBindings///container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME/tagValues/TAG_VALUE_ID",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-tag"
  location = "us-central1"

  enable_autopilot = true

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

data "google_project" "default" {}

resource "google_tags_tag_key" "default" {
  parent      = "projects/${data.google_project.default.project_id}"
  short_name  = "env"
  description = "Environment tag key"
}

resource "google_tags_tag_value" "default" {
  parent      = "tagKeys/${google_tags_tag_key.default.name}"
  short_name  = "dev"
  description = "Development environment tag value."
}

resource "google_tags_location_tag_binding" "default" {
  parent    = "//container.googleapis.com/${google_container_cluster.default.id}"
  location  = google_container_cluster.default.location
  tag_value = "tagValues/${google_tags_tag_value.default.name}"
}

An einen Cluster angehängte Tags auflisten

Sie können die mit einem Cluster verknüpften Tags mithilfe der gcloud CLI, der Google Cloud Console oder der Tags API auflisten.

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": RESOURCE_ID,
}

"tagBindings": [
  {
    "name": "tagBindings/%2F%2Fcontainer.googleapis.com%2Fprojects%2Ftags-bugbash-project%2Flocations%2LOCATION%2Fclusters%2Ftestcluster/tagValues/758072120217",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
]

Tags von einem Cluster trennen

Sie können ein Tag von einem Cluster trennen. Löschen Sie dazu mit der gcloud CLI, der Google Cloud Console oder der Tags API die Tag-Bindungsressource, die mit dem Cluster verknüpft ist. Wenn Sie ein Tag löschen müssen, müssen Sie es zuerst von allen angehängten Ressourcen trennen.

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAG_BINDING_NAME

Tag-Schlüssel und Tag-Werte löschen

Achten Sie vor dem Löschen von Tag-Schlüsseln und -Werten darauf, dass die Tags von allen Ressourcen getrennt sind. Lesen Sie dann Tags löschen, um die Schlüssel und Werte zu löschen.

Bedingungen und Tags für Identity and Access Management

Mit Tags und IAM-Bedingungen können Sie Nutzern in Ihrer Projekthierarchie bedingte Rollenbindungen zuweisen. Wenn Sie das einem Cluster angehängte Tag ändern oder löschen, kann GKE den Nutzerzugriff auf diesen Cluster entfernen, wenn eine IAM-Zulassungsrichtlinie mit bedingten Rollenbindungen angewendet wurde.

Die Autorisierung zum Auflisten und Erstellen von GKE-Clustern wird auf Projektebene, nicht auf der Ebene einzelner Cluster, überprüft. Wenn Sie bedingte IAM-Rollenbindungen mit Tags auf Clusterebene verwenden, um den Zugriff auf bestimmte Cluster einzuschränken, können bei diesen Nutzern Fehler auftreten, wenn sie versuchen, Cluster im Projekt aufzulisten oder zu erstellen. Um diese Fehler zu vermeiden, hängen Sie ein Tag an das übergeordnete Projekt an und verwenden eine bedingte Rollenbindung, um die Liste zu gewähren oder Zugriff zu erstellen. Informationen zu Rollen und Berechtigungen finden Sie in der Referenz für IAM-Rollen.

Weitere Informationen zu bedingten Zugriffsberechtigungen in IAM finden Sie unter IAM-Bedingungen und -Tags.

Nächste Schritte

• Organisationsrichtlinie mit Tags festlegen
• Weitere Informationen zum Verwalten von Tags und Anhängen von Tags an Ressourcen
• Weitere Dienste ansehen, die Tags unterstützen.
• Tags mit IAM verwenden