Gestire le risorse GKE utilizzando i tag

Questa pagina mostra come utilizzare i tag per gestire i cluster Google Kubernetes Engine (GKE) e applicare in modo condizionale i criteri di Identity and Access Management ai nodi.

Panoramica

I tag sono coppie chiave-valore che ti consentono di annotare e gestire a livello di organizzazione o di progetto. Puoi utilizzare la modalità Tag per organizzare le risorse e applicarli in modo condizionale come firewall o criteri IAM. I tag supportano il controllo dell'accesso IAM, che ti consente di definire chi può collegare, creare, aggiornare o eliminare i tag.

Casi d'uso dei tag in GKE

Puoi usare i tag in GKE in situazioni come le seguenti:

• Applica in modo condizionale i criteri firewall di rete a nodi specifici. Ad esempio, nega il traffico in entrata internet pubblico a tutti i nodi di un cluster in fase di gestione temporanea o di test ambienti cloud-native. Per istruzioni, vedi Applica in modo selettivo i criteri firewall di rete in GKE.
• Concedi i ruoli IAM in modo condizionale in base ai tag. Ad esempio, concedi automaticamente ai contraenti l'accesso a specifiche ambienti che normalmente sarebbero disponibili solo per i dipendenti a tempo pieno. Per istruzioni, consulta la parte restante di questo documento.
• Controlla e analizza i dati di fatturazione in base ai tag applicati a livello di progetto o di organizzazione.

Come funziona

Per l'applicazione specifica del criterio firewall di rete, devi creare un tag designare esplicitamente il tag per l'uso del firewall. Per tutti gli altri scopi, crea un tag senza impostare una designazione del firewall.

Dopo aver creato il tag, lo colleghi a GKE risorse come coppia chiave-valore. Per i criteri firewall di rete, utilizza l'API GKE, mentre per tutti gli altri scopi utilizzerai l'API Tag.

Per ogni chiave, puoi associare un valore a una risorsa. Ad esempio, se hai collegato env:dev a un cluster GKE, non puoi collegare anche env:prod o env:test. Puoi associare fino a 50 tag non firewall e fino a cinque tag firewall a ogni risorsa.

Metodi di annotazione delle risorse in GKE

In GKE, esistono diversi metodi per annotare le risorse, come descritte nella tabella seguente:

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

• Attiva l'API Google Kubernetes Engine.
Attiva l'API Google Kubernetes Engine
• Se vuoi utilizzare Google Cloud CLI per questa attività, install e poi inizializzare con gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo gcloud components update.

• Assicurati di disporre dei seguenti ruoli IAM:

  • roles/resourcemanager.tagAdmin
  • roles/resourcemanager.tagUser

  Per informazioni sulle autorizzazioni concesse da questi ruoli, consulta Autorizzazioni obbligatorie.

• Assicurati di avere un cluster GKE in esecuzione.

Collega tag a un cluster

Se disponi delle autorizzazioni corrette, puoi associare i tag a un cluster esistente utilizzando Google Cloud CLI, la console Google Cloud, l'API Tags o Terraform.

gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": "RESOURCE_ID",
  "tagValue": "TAG_VALUE_ID"
}

{
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding",
    "name": "tagBindings///container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME/tagValues/TAG_VALUE_ID",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-tag"
  location = "us-central1"

  enable_autopilot = true

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

data "google_project" "default" {}

resource "google_tags_tag_key" "default" {
  parent      = "projects/${data.google_project.default.project_id}"
  short_name  = "env"
  description = "Environment tag key"
}

resource "google_tags_tag_value" "default" {
  parent      = "tagKeys/${google_tags_tag_key.default.name}"
  short_name  = "dev"
  description = "Development environment tag value."
}

resource "google_tags_location_tag_binding" "default" {
  parent    = "//container.googleapis.com/${google_container_cluster.default.id}"
  location  = google_container_cluster.default.location
  tag_value = "tagValues/${google_tags_tag_value.default.name}"
}

Elenco dei tag collegati a un cluster

Puoi elencare i tag associati a un cluster utilizzando gcloud CLI, la console Google Cloud o l'API Tags.

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": RESOURCE_ID,
}

"tagBindings": [
  {
    "name": "tagBindings/%2F%2Fcontainer.googleapis.com%2Fprojects%2Ftags-bugbash-project%2Flocations%2LOCATION%2Fclusters%2Ftestcluster/tagValues/758072120217",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
]

Scollega i tag da un cluster

Puoi scollegare un tag da un cluster eliminando la risorsa di associazione di tag collegate al cluster tramite gcloud CLI, console Google Cloud o l'API Tag. Se devi eliminare un tag, devi prima scollegarlo da tutte le risorse collegate.

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAG_BINDING_NAME

Elimina chiavi e valori dei tag

Prima di eliminare le chiavi e i valori dei tag, assicurati che i tag siano scollegati a tutte le risorse. Quindi, consulta Eliminare i tag per eliminare le chiavi e i valori.

Condizioni e tag di Identity and Access Management

Puoi utilizzare i tag e le condizioni IAM per concedere in modo condizionale le associazioni di ruoli agli utenti nella gerarchia del progetto. Quando modifichi o elimini il tag associato a un cluster, GKE può rimuovere l'accesso degli utenti al cluster se è stato applicato un criterio di autorizzazione IAM con associazioni di ruoli condizionali.

L'autorizzazione per elencare e creare cluster GKE viene controllata a livello di progetto, non a livello di singolo cluster. Se utilizzi le regole Associazioni di ruoli IAM con tag a livello di cluster per limitare l'accesso a cluster specifici, questi utenti potrebbero riscontrare errori quando tentano di elencare o creare cluster nel progetto. Per evitare questi errori, associa un tag al progetto principale e utilizza un'associazione di ruoli condizionale per concedere l'elenco o creare l'accesso. Per informazioni su ruoli e autorizzazioni, consulta il riferimento ai ruoli IAM.

Per saperne di più sulle concessioni dell'accesso condizionale in IAM, consulta Condizioni e tag di Identity and Access Management.

Passaggi successivi

• Scopri come impostare un criterio dell'organizzazione con Tag.
• Scopri di più su come gestire i tag e associarli a Google Cloud.
• Scopri gli altri servizi che supportano i tag.
• Scopri come utilizzare i tag con IAM.