Saat Anda mendaftarkan cluster Kubernetes dengan Google Cloud menggunakan Connect, koneksi terautentikasi dan dienkripsi berumur panjang akan dibuat antara cluster Anda dan bidang kontrol Google Cloud. Koneksi ini menampilkan informasi tentang cluster di Google Cloud Console, dan memungkinkan Anda mengelola serta men-deploy konfigurasi dan resource ke cluster menggunakan komponen dan fitur GKE Enterprise, seperti Config Management.
Topik ini menjelaskan sifat koneksi antara Google Cloud dan Connect, serta memberikan detail tentang pengontrol sisi Google Cloud yang beroperasi pada cluster Anda melalui Connect.
Tentang hubungan antara Google Cloud dan Connect
Seperti yang dijelaskan dalam topik Fitur keamanan, hanya bidang kontrol Google Cloud yang membuat permintaan melalui Menghubungkan ke setiap cluster yang terhubung (misalnya, ke server API cluster), dan cluster mengirimkan respons kembali ke bidang kontrol. (Layanan dan resource cluster tidak dapat memulai permintaan ke bidang kontrol melalui Connect.) Dengan koneksi ini, pengguna yang diberi otorisasi dan otomatisasi sisi Google dapat menjangkau dan melakukan autentikasi terhadap cluster.
Misalnya, Connect memungkinkan Konsol Google Cloud mendapatkan informasi tentang workload dan layanan; atau mengizinkan Config Management menginstal atau mengupdate agen Connect dalam cluster dan mengamati status sinkronisasi. Connect juga memungkinkan agen pengukuran mengamati jumlah vCPU dalam cluster yang terhubung.
Connect tidak menyediakan transportasi data untuk image container, load balancing, koneksi database, Logging, atau Monitoring. Anda harus membangun konektivitas bagi semua pihak secara paralel melalui mekanismenya sendiri.
Akses pengguna Konsol Google Cloud ke cluster melalui Connect
Setelah pengguna di organisasi Anda login ke cluster melalui konsol Google Cloud, mereka memiliki izin cluster tertentu yang ditentukan oleh role-based access controls (RBAC) yang ditetapkan untuk mereka. Cluster (bukan Connect) menerapkan izin. Log Kubernetes standar memungkinkan Anda mengaudit tindakan yang dilakukan setiap pengguna dalam mengelola cluster.
Tabel berikut menunjukkan bagian konsol Google Cloud yang memungkinkan pengguna berinteraksi dengan cluster melalui Connect.
| Bagian Konsol Google Cloud | Yang dapat dilakukan pengguna |
|---|---|
| Kubernetes Engine | Kelola cluster dan workload yang terdaftar di fleet, kelola komponen GKE Enterprise. |
| Penyajian Knative | Bangun, deploy, dan kelola layanan dan aplikasi. |
| Marketplace | Men-deploy dan mengelola aplikasi pihak ketiga. |
Akses pengontrol sisi Google Cloud ke cluster melalui Connect
Pengontrol sisi Google Cloud mengakses cluster dari bidang kontrol Google Cloud menggunakan Agen Connect. Pengontrol ini menyediakan pengelolaan dan otomatisasi untuk fungsi yang Anda aktifkan di cluster. Misalnya, Config Management memiliki pengontrol sisi Google Cloud yang membantu mengarahkan siklus proses agen dalam cluster dan menyediakan UI untuk mengonfigurasi serta melihat status Config Management yang berjalan di berbagai cluster.
Pengontrol yang berbeda mengakses cluster menggunakan identitas yang berbeda, dan Anda dapat mengaudit setiap aktivitas pengontrol di log audit Kubernetes.
Tabel berikut merangkum cara pengontrol sisi Google Cloud beroperasi melalui Connect. Tabel ini menyoroti detail penting tentang pengontrol: izin yang diperlukan, ID-nya di log audit Kubernetes, dan apakah Anda dapat menonaktifkannya atau tidak.
Menonaktifkan komponen dalam konteks ini berarti menonaktifkannya sepenuhnya, tanpa ada bagian individual dari komponen yang dapat digunakan dalam cluster.
| Nama Komponen | Dapat dinonaktifkan? | Peran cluster / izin RBAC | Deskripsi | ID dalam log audit cluster |
|---|---|---|---|---|
| Feature Authorizer | Tidak (diaktifkan secara default) | cluster-admin |
Feature Authorizer menambahkan RBAC untuk komponen dengan dukungan perangkat, atau fitur, yang beroperasi di cluster Kubernetes, sehingga memastikan setiap komponen hanya memiliki izin spesifik yang diperlukan untuk menjalankan fungsinya. Anda tidak dapat menonaktifkan Pemberi Otorisasi Fitur selama ada Langganan yang terdaftar dalam project. Lihat Otorisasi fitur dalam fleet untuk informasi selengkapnya. |
service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com |
| Config Management | Ya (dinonaktifkan secara default) | cluster-admin |
Pengontrol Config Management mengelola agennya sendiri dalam cluster dan menyediakan UI yang menunjukkan status Config Management di semua cluster dalam fleet. Pengontrol menginstal komponen dalam cluster miliknya dan membuat akun layanan lokal dengan izin yang sesuai untuk men-deploy semua jenis konfigurasi Kubernetes atas nama pengguna. Saat tidak menginstal atau mengelola komponen dalam cluster, pengontrol Config Management akan membaca informasi status dari agen dalam cluster-nya. |
service-project-number@gcp-sa-acm.iam.gserviceaccount.com |
| Pengukuran penggunaan | Tidak (diaktifkan secara default) | Lihat definisi RBAC | Pengontrol pengukuran membaca informasi dasar tentang cluster yang terhubung untuk menyediakan layanan penagihan. Pengontrol ini memerlukan izinnya untuk:
Anda tidak dapat menonaktifkan Pengukuran selama ada Langganan yang terdaftar dalam project. |
service-project-number@gcp-sa-mcmetering.iam.gserviceaccount.com |
RBAC untuk komponen tertentu yang beroperasi melalui Connect
Definisi API berikut menunjukkan izin kontrol akses untuk berbagai resource komponen yang beroperasi melalui Connect.
Pengukuran penggunaan RBAC melalui Connect
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
labels:
hub.gke.io/owner-feature: metering
hub.gke.io/project: [PROJECT_ID]
name: metering
selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/metering
rules:
- apiGroups:
- ""
resources:
- nodes
verbs:
- get
- watch
- list
- apiGroups:
- metering.gke.io
resources:
- usagerecords
verbs:
- get
- list
- watch
- delete
- apiGroups:
- anthos.gke.io
resources:
- entitlements
verbs:
- create
- delete
- get
- list
- update
- watch
- apiGroups:
- apiextensions.k8s.io
resources:
- customresourcedefinitions
verbs:
- create
- list
- watch
- apiGroups:
- apiextensions.k8s.io
resourceNames:
- entitlements.anthos.gke.io
resources:
- customresourcedefinitions
verbs:
- get