Quando você registra um cluster fora Google Cloud na sua frota, Google Cloud usa uma implantação chamada de agente do Connect para estabelecer uma conexão entre o cluster e o projeto Google Cloud e processar solicitações do Kubernetes. O agente do Connect não é necessário para estabelecer uma conexão com clusters do GKE em execução no Google Cloud.
Isso permite acesso ao cluster e aos recursos de gerenciamento de carga de trabalho no Google Cloud, incluindo uma interface de usuário unificada, o console do Google Cloud, para interagir com o cluster.
Se a rede estiver configurada para permitir solicitações de saída, será possível configurar o agente do Connect para transferir NATs, proxies de saída e firewalls, estabelecendo uma conexão criptografada de longa duração entre o servidor da API Kubernetes do cluster e o projeto do Google Cloud . Quando a conexão estiver ativa, será possível usar suas próprias credenciais para fazer login novamente nos clusters e acessar detalhes sobre os recursos do Kubernetes. Isso realmente replicará a experiência da IU que está disponível apenas para clusters do GKE.
Depois que a conexão é estabelecida, o software do agente do Connect pode trocar credenciais de conta, detalhes técnicos e metadados sobre a infraestrutura e as cargas de trabalho conectadas necessárias para gerenciá-las com Google Cloud, incluindo detalhes de recursos, aplicativos e hardware.
Esses dados do serviço de cluster estão associados ao seu projeto e à sua conta do Google Cloud . O Google usa esses dados para manter um plano de controle entre o cluster e a Google Cloud, além de oferecer os serviços e recursos Google Cloud solicitados, incluindo a facilitação de suporte, faturamento, fornecimento de atualizações e para medir e melhorar a confiabilidade, a qualidade, a capacidade e a funcionalidade do Connect e dos serviços Google Cloud disponíveis pelo Connect.
Você mantém o controle sobre os dados enviados por meio do Connect: o servidor da API Kubernetes realiza a autenticação, a autorização e a geração de registros de auditoria em todas as solicitações via Connect. Para acessar dados ou APIs por meio do Connect, o Google e os usuários precisam ser autorizados pelo administrador do cluster. Por exemplo, via RBAC. O administrador pode revogar essa autorização.
Conectar papéis do IAM
O gerenciamento de identidade e acesso (IAM) permite que usuários, grupos e contas de serviço acessem as APIs Google Cloud e realizem tarefas nos produtosGoogle Cloud .
Você precisa fornecer papéis específicos do IAM para iniciar o Connect Agent e interagir com o cluster usando o console do Google Cloud ou a CLI do Google Cloud. Esses papéis não permitem acesso direto a clusters conectados. Saiba como fazer login em clusters do console do Google Cloud em Como trabalhar com clusters do console do Google Cloud.
Com alguns destes papéis, é possível acessar informações sobre clusters, incluindo:
- Nomes do cluster
- Chaves públicas
- Endereços IP
- Provedores de identidade
- versões do Kubernetes;
- tamanho do cluster
- Outros metadados de clusters.
O Connect usa os papéis do IAM a seguir:
| Nome da função | Título do papel | Descrição | Permissões |
|---|---|---|---|
roles/gkehub.editor |
Editor do hub | Fornecer acesso de edição aos recursos do Hub GKE. |
Permissões para Google Cloud
Permissões para o Hub
|
roles/gkehub.viewer |
Leitor do Hub | Fornece acesso somente leitura ao Hub e aos recursos relacionados. |
Permissões para Google Cloud
Permissões para o Hub
|
roles/gkehub.connect |
Agente do GKE Connect | Fornece a capacidade de estabelecer novas conexões entre clusters externos e o Google. | gkehub.endpoints.connect |
Uso de recursos e requisitos
Normalmente, o agente do Connect instalado no registro usa 500 m de CPU e 200 Mi de memória. No entanto, esse uso pode variar dependendo do número de solicitações feitas ao agente por segundo e do tamanho dessas solicitações. Isso pode ser afetado por vários fatores, incluindo o tamanho do cluster, o número de usuários que acessam o cluster pelo Console do Cloud (quanto mais usuários e/ou cargas de trabalho, mais solicitações) e o número de recursos ativados pelo ambiente no cluster.