Saat Anda mendaftarkan cluster Kubernetes dengan Google Cloud menggunakan Connect, koneksi yang lama, diautentikasi dan dienkripsi akan dibuat antara cluster Anda dan Google Cloud bidang kontrol. Koneksi ini menampilkan informasi tentang cluster di konsolGoogle Cloud , dan memungkinkan Anda mengelola serta men-deploy konfigurasi dan resource ke cluster menggunakan komponen dan fitur GKE Enterprise, seperti Config Management.
Topik ini menjelaskan sifat koneksi antara Google Cloud dan Connect serta memberikan detail tentang pengontrol sisi Google Cloud yang beroperasi di cluster Anda melalui Connect.
Tentang koneksi antara Google Cloud dan Connect
Seperti yang dijelaskan dalam topik Fitur keamanan, hanya bidang kontrol Google Cloud yang membuat permintaan melalui Connect ke setiap cluster yang terhubung (misalnya, ke server API cluster), dan cluster mengirim respons kembali ke bidang kontrol. (Layanan dan resource cluster tidak dapat memulai permintaan ke bidang kontrol melalui Connect.) Koneksi ini memungkinkan pengguna yang diotorisasi dan otomatisasi sisi Google untuk menjangkau dan mengautentikasi cluster.
Misalnya, Console Connect memungkinkan Google Cloud mendapatkan informasi tentang beban kerja dan layanan; atau memungkinkan Config Management menginstal atau memperbarui agen dalam cluster Connect dan mengamati status sinkronisasi. Connect juga memungkinkan agen pengukuran mengamati jumlah vCPU dalam cluster yang terhubung.
Connect tidak menyediakan transpor data untuk image container, load balancing, koneksi database, Logging, atau Monitoring. Anda harus membuat konektivitas untuk keduanya secara paralel melalui mekanismenya sendiri.
Akses pengguna konsolGoogle Cloud ke cluster melalui Connect
Setelah pengguna di organisasi Anda login ke cluster melalui konsol Google Cloud , mereka memiliki izin cluster tertentu yang ditentukan oleh kontrol akses berbasis peran (RBAC) yang ditetapkan untuk mereka. Cluster (bukan Connect) menerapkan izin. Log Kubernetes standar memungkinkan Anda mengaudit tindakan yang dilakukan setiap pengguna dalam mengelola cluster.
Tabel berikut menunjukkan bagian mana dari konsol Google Cloud yang memungkinkan pengguna berinteraksi dengan cluster melalui Connect.
| Bagian konsolGoogle Cloud | Yang dapat dilakukan pengguna |
|---|---|
| Kubernetes Engine | Mengelola cluster dan workload yang terdaftar di fleet, mengelola komponen GKE Enterprise. |
| Inferensi Knative | Membangun, men-deploy, dan mengelola layanan dan aplikasi. |
| Marketplace | Men-deploy dan mengelola aplikasi pihak ketiga. |
Akses pengontrol sisiGoogle Cloudke cluster melalui Connect
Pengontrol sisiGoogle Cloudmengakses cluster dari platform kontrol Google Cloud menggunakan Agen Connect. Pengontrol ini menyediakan pengelolaan dan otomatisasi untuk fungsi yang Andaaktifkan di cluster. Misalnya, Config Management memiliki pengontrol sisiGoogle Cloudyang membantu mengarahkan siklus proses agen dalam cluster dan menyediakan UI untuk mengonfigurasi dan melihat status Config Management yang berjalan di beberapa cluster.
Pengontrol yang berbeda mengakses cluster menggunakan identitas yang berbeda, dan Anda dapat mengaudit aktivitas setiap pengontrol di log audit Kubernetes.
Tabel berikut merangkum cara pengontrol sisi Google Cloud beroperasi melalui Connect. Tabel ini menyoroti detail utama tentang pengontrol: izin yang diperlukan, ID-nya dalam log audit Kubernetes, dan apakah Anda dapat menonaktifkannya atau tidak.
Menonaktifkan komponen dalam konteks ini berarti menonaktifkannya sepenuhnya, tanpa ada bagian komponen yang dapat digunakan dalam cluster.
| Nama Komponen | Dapat dinonaktifkan? | Izin RBAC / peran cluster | Deskripsi | ID di log audit cluster |
|---|---|---|---|---|
| Feature Authorizer | Tidak (diaktifkan secara default) | cluster-admin |
Feature Authorizer menambahkan RBAC untuk komponen yang mendukung armada, atau fitur, yang beroperasi di cluster Kubernetes, sehingga memastikan setiap komponen hanya memiliki izin tertentu yang diperlukan untuk menjalankan fungsinya. Anda tidak dapat menonaktifkan Feature Authorizer selama ada langganan yang terdaftar di project. Lihat Otorisasi fitur di armada untuk informasi selengkapnya. |
service-project-number@gcp-sa-gkehub. |
| Config Management | Ya (dinonaktifkan secara default) | cluster-admin |
Pengontrol Config Management mengelola agen dalam clusternya sendiri dan menyediakan UI yang menampilkan status Config Management di semua cluster dalam fleet. Pengontrol menginstal komponen dalam cluster dan membuat akun layanan lokal dengan izin yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, pengontrol Config Management akan membaca informasi status dari agen dalam cluster-nya. |
service-project-number@gcp-sa-acm. |
| Pengukuran penggunaan | Tidak (diaktifkan secara default) | Lihat definisi RBAC | Pengontrol pengukuran membaca informasi dasar tentang cluster yang terhubung untuk menyediakan layanan penagihan. Pengontrol ini memerlukan izin untuk:
Anda tidak dapat menonaktifkan Pengukuran, selama ada langganan yang terdaftar di project. |
service-project-number@gcp-sa-mcmetering. |
RBAC untuk komponen tertentu yang beroperasi melalui Connect
Definisi API berikut menunjukkan izin kontrol akses untuk berbagai resource komponen yang beroperasi melalui Connect.
Pengukuran penggunaan RBAC melalui Connect
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
labels:
hub.gke.io/owner-feature: metering
hub.gke.io/project: [PROJECT_ID]
name: metering
selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/metering
rules:
- apiGroups:
- ""
resources:
- nodes
verbs:
- get
- watch
- list
- apiGroups:
- metering.gke.io
resources:
- usagerecords
verbs:
- get
- list
- watch
- delete
- apiGroups:
- anthos.gke.io
resources:
- entitlements
verbs:
- create
- delete
- get
- list
- update
- watch
- apiGroups:
- apiextensions.k8s.io
resources:
- customresourcedefinitions
verbs:
- create
- list
- watch
- apiGroups:
- apiextensions.k8s.io
resourceNames:
- entitlements.anthos.gke.io
resources:
- customresourcedefinitions
verbs:
- get