Gerenciar recursos do GKE usando tags

Nesta página, mostramos como usar tags para gerenciar os clusters do Google Kubernetes Engine (GKE) e aplicar condicionalmente políticas do Identity and Access Management aos nós.

Visão geral

As tags são pares de chave-valor que permitem anotar e gerenciar os recursos do Google Cloud no nível da organização ou do projeto. Use tags para organizar seus recursos e aplicar condicionalmente políticas, como firewalls ou políticas do IAM. Elas oferecem suporte ao controle de acesso do IAM, que permite definir quem pode anexar, criar, atualizar ou excluir tags.

Casos de uso de tags no GKE

Use tags no GKE em situações como as seguintes:

• Aplique condicionalmente políticas de firewall de rede a nós específicos. Por exemplo, negue o tráfego de entrada da Internet pública para todos os nós de um cluster em ambientes de preparo ou teste. Para instruções, consulte Aplicar seletivamente políticas de firewall de rede no GKE.
• Conceda condicionalmente papéis do IAM com base em tags. Por exemplo, conceder automaticamente aos contratados acesso a ambientes específicos que normalmente estariam disponíveis apenas para funcionários em tempo integral. Para ver instruções, consulte o restante deste documento.
• Audite e analise as informações de faturamento com base nas tags aplicadas no nível do projeto ou da organização.

Como funciona

Especificamente para a aplicação da política de firewall de rede, crie uma tag e designe explicitamente a tag para uso do firewall. Para todas as outras finalidades, você cria uma tag sem definir uma designação de firewall.

Depois de criar a tag, anexe-a aos recursos do GKE como um par de chave-valor. Para políticas de firewall de rede, use a API GKE e, para todas as outras finalidades, use a API Tags.

Para cada chave, é possível anexar um valor a um recurso. Por exemplo, se você anexou env:dev a um cluster GKE, também não é possível anexar env:prod ou env:test. É possível anexar até 50 tags que não são de firewall e até cinco tags de firewall a cada recurso.

Métodos de anotação de recurso no GKE

No GKE, há vários métodos para anotar seus recursos, conforme descrito na tabela a seguir:

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

• Ativar a API Google Kubernetes Engine.
Ativar a API Google Kubernetes Engine
• Se você quiser usar a Google Cloud CLI para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a CLI gcloud anteriormente, instale a versão mais recente executando gcloud components update.

• Verifique se você tem os seguintes papéis do IAM:

  • roles/resourcemanager.tagAdmin
  • roles/resourcemanager.tagUser

  Para informações sobre as permissões concedidas por esses papéis, consulte Permissões necessárias.

• Verifique se você tem um cluster do GKE em execução.

Anexar tags a um cluster

É possível anexar tags a um cluster já existente quando você tem as permissões corretas usando a CLI do Google Cloud, o console do Google Cloud, a API Tags ou o Terraform.

gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": "RESOURCE_ID",
  "tagValue": "TAG_VALUE_ID"
}

{
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding",
    "name": "tagBindings///container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME/tagValues/TAG_VALUE_ID",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-tag"
  location = "us-central1"

  enable_autopilot = true

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

data "google_project" "default" {}

resource "google_tags_tag_key" "default" {
  parent      = "projects/${data.google_project.default.project_id}"
  short_name  = "env"
  description = "Environment tag key"
}

resource "google_tags_tag_value" "default" {
  parent      = "tagKeys/${google_tags_tag_key.default.name}"
  short_name  = "dev"
  description = "Development environment tag value."
}

resource "google_tags_location_tag_binding" "default" {
  parent    = "//container.googleapis.com/${google_container_cluster.default.id}"
  location  = google_container_cluster.default.location
  tag_value = "tagValues/${google_tags_tag_value.default.name}"
}

Listar tags anexadas a um cluster

É possível listar as tags anexadas a um cluster usando a CLI gcloud, o console do Google Cloud ou a API Tags.

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": RESOURCE_ID,
}

"tagBindings": [
  {
    "name": "tagBindings/%2F%2Fcontainer.googleapis.com%2Fprojects%2Ftags-bugbash-project%2Flocations%2LOCATION%2Fclusters%2Ftestcluster/tagValues/758072120217",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
]

Remover tags de um cluster

É possível desanexar uma tag de um cluster excluindo o recurso de vinculação de tags anexado ao cluster usando a CLI gcloud, o console do Google Cloud ou a API Tags. Se você precisar excluir uma tag, primeiro remova todos os recursos anexados.

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAG_BINDING_NAME

Excluir chaves e valores de tag

Antes de excluir chaves e valores de tags, verifique se as tags foram removidas de todos os recursos. Em seguida, consulte Como excluir tags para excluir as chaves e os valores.

Condições e tags do Identity and Access Management

É possível usar tags e condições do IAM para conceder vinculações de papéis condicionalmente aos usuários na hierarquia do projeto. Quando você altera ou exclui a tag anexada a um cluster, o GKE pode remover o acesso do usuário a esse cluster de acordo com a aplicação ou não de uma política do IAM com vinculações de papéis condicionais.

A autorização para listar e criar clusters do GKE é verificada no nível do projeto, não no nível do cluster individual. Se você usa vinculações condicionais de papel do IAM com tags no nível do cluster para restringir o acesso a clusters específicos, esses usuários talvez enfrentem erros ao tentar listar ou criar clusters no projeto. Para evitar esses erros, anexe uma tag ao projeto pai e use uma vinculação de papel condicional para conceder à lista ou criar acesso. Para informações sobre papéis e permissões, consulte a Referência de papéis do IAM.

Para mais informações sobre concessões de acesso condicional no IAM, consulte Condições e tags do Identity and Access Management.

A seguir

• Saiba como definir uma política da organização com tags.
• Saiba mais sobre como gerenciar tags e anexá-las a recursos.
• Veja os outros serviços compatíveis com tags.
• Saiba como usar tags com o IAM.