Halaman ini diterjemahkan oleh Cloud Translation API.

Yang menggunakan Connect

Terakhir diubah: 18 Juni 2024

Saat Anda mendaftarkan cluster Kubernetes dengan Google Cloud menggunakan Connect, koneksi terautentikasi dan terenkripsi yang berjalan lama akan dibuat antara cluster Anda dan bidang kontrol Google Cloud. Koneksi ini menampilkan informasi tentang cluster di konsolGoogle Cloud , dan memungkinkan Anda mengelola serta men-deploy konfigurasi dan resource ke cluster menggunakan komponen dan fitur GKE, seperti Config Management.

Topik ini menjelaskan sifat koneksi antara Google Cloud dan Connect serta memberikan detail tentang pengontrol sisi Google Cloudyang beroperasi di cluster Anda melalui Connect.

Tentang koneksi antara Google Cloud dan Connect

Seperti yang dijelaskan dalam topik Fitur keamanan, hanya bidang kontrol Google Cloud yang membuat permintaan melalui Connect ke setiap cluster yang terhubung (misalnya, ke server API cluster), dan cluster mengirimkan respons kembali ke bidang kontrol. (Layanan dan resource cluster tidak dapat memulai permintaan ke bidang kontrol melalui Connect.) Koneksi ini memungkinkan pengguna yang berwenang dan otomatisasi sisi Google untuk menjangkau dan melakukan autentikasi terhadap cluster.

Misalnya, Connect memungkinkan konsol Google Cloud mendapatkan informasi tentang beban kerja dan layanan; atau memungkinkan Pengelolaan Konfigurasi menginstal atau mengupdate agen dalam cluster Connect dan mengamati status sinkronisasi. Connect juga memungkinkan agen pengukuran mengamati jumlah vCPU dalam cluster yang terhubung.

Connect tidak menyediakan transportasi data untuk image penampung, load balancing, koneksi database, Logging, atau Monitoring. Anda harus membuat konektivitas untuk keduanya secara paralel melalui mekanisme masing-masing.

Google Cloud akses pengguna konsol ke cluster melalui Connect

Setelah pengguna di organisasi Anda login ke cluster melalui konsol Google Cloud , mereka akan memiliki izin cluster tertentu yang ditentukan oleh kontrol akses berbasis peran (RBAC) yang ditetapkan kepada mereka. Cluster (bukan Connect) yang menerapkan izin. Log Kubernetes standar memungkinkan Anda mengaudit tindakan yang dilakukan setiap pengguna dalam mengelola cluster.

Tabel berikut menunjukkan bagian konsol Google Cloud yang memungkinkan pengguna berinteraksi dengan cluster melalui Connect.

BagianGoogle Cloud console	Yang dapat dilakukan pengguna
Kubernetes Engine	Mengelola cluster dan workload yang terdaftar di fleet, mengelola komponen GKE.
Inferensi Knative	Membangun, men-deploy, dan mengelola layanan dan aplikasi.
Marketplace	Deploy dan kelola aplikasi pihak ketiga.

Akses pengontrol sisiGoogle Cloudke cluster melalui Connect

Pengontrol sisiGoogle Cloudmengakses cluster dari bidang kontrol Google Cloud menggunakan Connect Agent. Pengontrol ini menyediakan pengelolaan dan otomatisasi untuk fungsi yang Anda aktifkan di cluster Anda. Misalnya, Config Management memiliki pengontrol sisiGoogle Cloud- yang membantu mengarahkan siklus proses agen dalam cluster dan menyediakan UI untuk mengonfigurasi dan melihat status Config Management yang berjalan di beberapa cluster.

Pengontrol yang berbeda mengakses cluster menggunakan identitas yang berbeda, dan Anda dapat mengaudit aktivitas setiap pengontrol di log audit Kubernetes.

Tabel berikut merangkum cara kerja pengontrol sisi Google Cloudmelalui Connect. Tabel ini menyoroti detail utama tentang pengontrol: izin yang mereka butuhkan, ID mereka dalam log audit Kubernetes, dan apakah Anda dapat menonaktifkannya atau tidak.

Menonaktifkan komponen dalam konteks ini berarti menonaktifkannya sepenuhnya, dengan tidak ada bagian individual dari komponen yang dapat digunakan dalam cluster.

Nama Komponen Dapat dinonaktifkan? Izin RBAC / peran cluster Deskripsi ID di log audit cluster

Feature Authorizer

Nama Komponen	Dapat dinonaktifkan?	Izin RBAC / peran cluster	Deskripsi	ID di log audit cluster
Feature Authorizer	Tidak (diaktifkan secara default)	`cluster-admin`	Feature Authorizer menambahkan RBAC untuk komponen yang kompatibel dengan fleet, atau fitur, yang beroperasi di cluster Kubernetes, sehingga memastikan setiap komponen hanya memiliki izin khusus yang diperlukan untuk menjalankan fungsinya. Anda tidak dapat menonaktifkan Pemberi Izin Fitur selama masih ada Keanggotaan yang terdaftar dalam project. Lihat Otorisasi fitur dalam armada untuk mengetahui informasi selengkapnya.	service-`project-number`@gcp-sa-gkehub.
Config Management	Ya (dinonaktifkan secara default)	`cluster-admin`	Pengontrol Pengelolaan Konfigurasi mengelola agen dalam cluster-nya sendiri dan menyediakan UI yang menampilkan status Pengelolaan Konfigurasi di semua cluster dalam fleet. Pengontrol menginstal komponen dalam clusternya dan membuat akun layanan lokal dengan izin yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, pengontrol Config Management membaca informasi status dari agen dalam clusternya.	service-`project-number`@gcp-sa-acm.
Pengukuran penggunaan	Tidak (diaktifkan secara default)	Lihat definisi RBAC	Pengontrol pengukuran membaca informasi dasar tentang cluster yang terhubung untuk menyediakan layanan penagihan. Pengontrol ini memerlukan izinnya untuk: Pengukuran berdasarkan kapasitas vCPU node. Pantau dan hapus resource kustom `metering.gke.io/usagerecords`. Buat dan perbarui `anthos.gke.io/entitlements` resource kustom. Anda tidak dapat menonaktifkan Pengukuran, selama ada Langganan yang terdaftar dalam project.	service-`project-number`@gcp-sa-mcmetering.

Tidak (diaktifkan secara default)

cluster-admin

Feature Authorizer menambahkan RBAC untuk komponen yang kompatibel dengan fleet, atau fitur, yang beroperasi di cluster Kubernetes, sehingga memastikan setiap komponen hanya memiliki izin khusus yang diperlukan untuk menjalankan fungsinya.

Anda tidak dapat menonaktifkan Pemberi Izin Fitur selama masih ada Keanggotaan yang terdaftar dalam project.

Lihat Otorisasi fitur dalam armada untuk mengetahui informasi selengkapnya.

service-project-number@gcp-sa-gkehub.

Config Management

Ya (dinonaktifkan secara default)

cluster-admin

Pengontrol Pengelolaan Konfigurasi mengelola agen dalam cluster-nya sendiri dan menyediakan UI yang menampilkan status Pengelolaan Konfigurasi di semua cluster dalam fleet.

Pengontrol menginstal komponen dalam clusternya dan membuat akun layanan lokal dengan izin yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, pengontrol Config Management membaca informasi status dari agen dalam clusternya.

service-project-number@gcp-sa-acm.

Pengukuran penggunaan

Tidak (diaktifkan secara default)

Lihat definisi RBAC

Pengontrol pengukuran membaca informasi dasar tentang cluster yang terhubung untuk menyediakan layanan penagihan.

Pengontrol ini memerlukan izinnya untuk:

Pengukuran berdasarkan kapasitas vCPU node.
Pantau dan hapus resource kustom metering.gke.io/usagerecords.
Buat dan perbarui anthos.gke.io/entitlements resource kustom.

Anda tidak dapat menonaktifkan Pengukuran, selama ada Langganan yang terdaftar dalam project.

service-project-number@gcp-sa-mcmetering.

RBAC untuk komponen tertentu yang beroperasi melalui Connect

Definisi API berikut menunjukkan izin kontrol akses untuk berbagai resource komponen yang beroperasi melalui Connect.

RBAC pengukuran penggunaan melalui Connect

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    hub.gke.io/owner-feature: metering
    hub.gke.io/project: [PROJECT_ID]
  name: metering
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/metering
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - get
  - watch
  - list
- apiGroups:
  - metering.gke.io
  resources:
  - usagerecords
  verbs:
  - get
  - list
  - watch
  - delete
- apiGroups:
  - anthos.gke.io
  resources:
  - entitlements
  verbs:
  - create
  - delete
  - get
  - list
  - update
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resources:
  - customresourcedefinitions
  verbs:
  - create
  - list
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resourceNames:
  - entitlements.anthos.gke.io
  resources:
  - customresourcedefinitions
  verbs:
  - get