Questa pagina è stata tradotta dall'API Cloud Translation.

Che cosa utilizza Connect

Ultima modifica dell'argomento: 18 giugno 2024

Quando registri i tuoi cluster Kubernetes con Google Cloud utilizzando Connect, un'azienda di lunga durata autenticati e criptati viene stabilita una connessione tra i cluster e Google Cloud dal piano di controllo. La connessione restituisce le informazioni sui cluster Google Cloud e ti consente di gestire ed eseguire il deployment di configurazioni di risorse ai cluster utilizzando i componenti e le funzionalità di GKE Enterprise, ad esempio Config Management.

Questo argomento descrive la natura della connessione tra Google Cloud e Connettiti e fornisce dettagli sul lato Google Cloud che operano sui cluster tramite Connect.

Informazioni sulla connessione tra Google Cloud e Connect

Come descritto nell'argomento Funzionalità di sicurezza, solo il piano di controllo Google Cloud effettua le richieste Connettiti a ogni cluster connesso (ad esempio, a un cluster server API) e il cluster invia le risposte al piano di controllo. (Cluster i servizi e le risorse non possono avviare richieste al piano di controllo tramite Connect. La connessione consente agli utenti autorizzati e all'automazione lato Google di raggiungere e autenticarsi con i cluster.

Ad esempio: Connect consente alla console Google Cloud di ricevere informazioni carichi di lavoro e servizi; o consente a Config Management di installare aggiorna l'agente Connect nel cluster e osserva lo stato della sincronizzazione. Connect consente inoltre all'agente di misurazione di osservare il numero di vCPU in un cluster connesso.

Connect non fornisce il trasporto dati per le immagini container, bilanciamento del carico, connessioni di database, Logging monitoraggio. Devi stabilire la connettività per gli utenti in parallelo attraverso i propri meccanismi.

Accesso degli utenti della console Google Cloud ai cluster tramite Connect

Dopo che gli utenti dell'organizzazione accedi a un tramite la console Google Cloud, hanno autorizzazioni specifiche determinato dal controllo di accesso basato sui ruoli (RBAC) a loro assegnato. La (non Connect) applica le autorizzazioni. Standard I log di Kubernetes consentono di controllare le azioni eseguite da ogni utente nella gestione in un cluster.

La tabella seguente mostra quali parti della console Google Cloud consentono agli utenti interagire con i cluster tramite Connect.

Sezione della console Google Cloud	Cosa possono fare gli utenti
Kubernetes Engine	Gestisci i cluster e i carichi di lavoro registrati del parco risorse, gestisci i componenti GKE Enterprise.
Knative serving	Crea, esegui il deployment e gestisci servizi e applicazioni.
Mercato	Eseguire il deployment e gestire applicazioni di terze parti.

Accesso al controller lato Google Cloud ai cluster tramite Connect

I controller lato Google Cloud accedono a un cluster al piano di controllo di Google Cloud Agente Connect. Questi controller offrono gestione e automazione per la funzionalità e abilitare l'abilitazione sui cluster. Ad esempio, Config Management ha Controller lato Google Cloud che aiuta a indirizzare ciclo di vita degli agenti in-cluster e fornisce una UI per configurare e visualizzare lo stato di Config Management in esecuzione su più cluster.

Controller diversi accedono ai cluster usando identità diverse e controllare le attività di ogni controller in Kubernetes log di controllo.

La tabella seguente riassume il modo in cui i controller lato Google Cloud operare tramite Connect. La tabella evidenzia i dettagli chiave controller: le autorizzazioni di cui hanno bisogno, i relativi ID negli audit log di Kubernetes e se è possibile disattivarli o meno.

In questo caso, disattivare un componente significa disattivarlo del tutto, utilizzando le singole parti del componente non possono essere utilizzate nei cluster.

Nome componente Può essere disattivato? Autorizzazioni RBAC / ruolo del cluster Descrizione ID negli audit log del cluster

Feature Authorizer

Nome componente	Può essere disattivato?	Autorizzazioni RBAC / ruolo del cluster	Descrizione	ID negli audit log del cluster
Feature Authorizer	No (attivata per impostazione predefinita)	`cluster-admin`	Autorizzatore delle caratteristiche aggiunge RBAC per abilitato al parco risorse componenti o funzionalità, che operano su Kubernetes, assicurando che ciascuno disponga solo autorizzazioni necessarie per eseguire le sue funzioni. Non puoi disabilitare Autorizzazione funzionalità finché sono presenti Abbonamenti nel progetto. Vedi Autorizzazione delle funzionalità in un parco risorse per ulteriori informazioni informazioni.	service-`project-number`@gcp-sa-gkehub.iam.gserviceaccount.com
Config Management	Sì (disattivata per impostazione predefinita)	`cluster-admin`	Il controller Config Management gestisce il proprio nel cluster e fornisce una UI che mostra lo stato Config Management in tutti i cluster in un parco risorse. Il controller installa i propri componenti nel cluster e crea un account di servizio locale con le autorizzazioni appropriate per di eseguire il deployment di tutti i tipi di configurazioni Kubernetes per conto degli utenti. Quando non installi o gestisci i componenti nel cluster, Il controller Config Management legge le informazioni sullo stato dall'agente nel cluster.	service-`project-number`@gcp-sa-acm.iam.gserviceaccount.com
Misurazione dell'utilizzo	No (attivata per impostazione predefinita)	Consulta la definizione di RBAC	Il controller di misurazione legge le informazioni di base sui dispositivi connessi per fornire servizi di fatturazione. Questo controller richiede le sue autorizzazioni per: Strumento di misurazione basato sulla capacità della vCPU del nodo. Controlla ed elimina `metering.gke.io/usagerecords` risorsa personalizzata. Crea e aggiorna il `anthos.gke.io/entitlements` risorsa personalizzata. Non puoi disattivare la misurazione, purché siano presenti Abbonamenti nel progetto.	service-`project-number`@gcp-sa-mcmetering.iam.gserviceaccount.com

No (attivata per impostazione predefinita)

cluster-admin

Autorizzatore delle caratteristiche aggiunge RBAC per abilitato al parco risorse componenti o funzionalità, che operano su Kubernetes, assicurando che ciascuno disponga solo autorizzazioni necessarie per eseguire le sue funzioni.

Non puoi disabilitare Autorizzazione funzionalità finché sono presenti Abbonamenti nel progetto.

Vedi Autorizzazione delle funzionalità in un parco risorse per ulteriori informazioni informazioni.

service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com

Config Management

Sì (disattivata per impostazione predefinita)

cluster-admin

Il controller Config Management gestisce il proprio nel cluster e fornisce una UI che mostra lo stato Config Management in tutti i cluster in un parco risorse.

Il controller installa i propri componenti nel cluster e crea un account di servizio locale con le autorizzazioni appropriate per di eseguire il deployment di tutti i tipi di configurazioni Kubernetes per conto degli utenti. Quando non installi o gestisci i componenti nel cluster, Il controller Config Management legge le informazioni sullo stato dall'agente nel cluster.

service-project-number@gcp-sa-acm.iam.gserviceaccount.com

Misurazione dell'utilizzo

No (attivata per impostazione predefinita)

Consulta la definizione di RBAC

Il controller di misurazione legge le informazioni di base sui dispositivi connessi per fornire servizi di fatturazione.

Questo controller richiede le sue autorizzazioni per:

Strumento di misurazione basato sulla capacità della vCPU del nodo.
Controlla ed elimina metering.gke.io/usagerecords risorsa personalizzata.
Crea e aggiorna il anthos.gke.io/entitlements risorsa personalizzata.

Non puoi disattivare la misurazione, purché siano presenti Abbonamenti nel progetto.

service-project-number@gcp-sa-mcmetering.iam.gserviceaccount.com

RBAC per componenti specifici che operano tramite Connect

Le seguenti definizioni API mostrano le autorizzazioni di controllo dell'accesso per diverse delle risorse dei componenti operative su Connect.

Misurazione dell'utilizzo RBAC tramite Connect

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    hub.gke.io/owner-feature: metering
    hub.gke.io/project: [PROJECT_ID]
  name: metering
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/metering
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - get
  - watch
  - list
- apiGroups:
  - metering.gke.io
  resources:
  - usagerecords
  verbs:
  - get
  - list
  - watch
  - delete
- apiGroups:
  - anthos.gke.io
  resources:
  - entitlements
  verbs:
  - create
  - delete
  - get
  - list
  - update
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resources:
  - customresourcedefinitions
  verbs:
  - create
  - list
  - watch
- apiGroups:
  - apiextensions.k8s.io
  resourceNames:
  - entitlements.anthos.gke.io
  resources:
  - customresourcedefinitions
  verbs:
  - get