I parchi risorse consentono di gestire funzionalità aziendali e altre funzionalità abilitate per il parco risorse contemporaneamente. Ciò ti consente, ad esempio, di applicare un insieme comune o creare un singolo mesh di servizi nel parco risorse di cluster. Questo pagina fornisce una panoramica di come puoi gestire le funzionalità per il tuo parco risorse. Per ulteriori informazioni sulla configurazione e sull'utilizzo delle singole funzionalità, consulta le documentazione.
Se hai attivato Google Kubernetes Engine (GKE) Enterprise, puoi e gestire le funzionalità nella console Google Cloud. Tutti gli utenti del parco risorse possono gestire le funzionalità utilizzando la riga di comando.
Alcune funzionalità ti consentono di creare una configurazione delle funzionalità predefinita a livello di parco risorse per il tuo del parco risorse. Ad esempio, puoi assicurarti che ogni cluster che crei nel parco risorse in cui è installato e configurato Policy Controller. A livello di parco risorse la configurazione predefinita è disponibile solo per gli utenti che hanno abilitato con GKE Enterprise.
Scopri di più su come la gestione delle funzionalità a livello di parco risorse sui tuoi cluster funziona "in background" nella sezione Autorizzazione alle funzionalità .
Caratteristiche a livello di parco risorse
Puoi gestire le seguenti funzionalità a livello di parco risorse:
- Cloud Service Mesh gestito
- Postura di sicurezza
- Configurazione Sync
- Policy Controller
- Servizio di identità GKE
- Ingress multi-cluster
- Servizi multi-cluster (solo cluster GKE)
- Convalida continua per Autorizzazione binaria
Questo elenco non include tutte le funzionalità che utilizzano o richiedono parchi risorse. Ad esempio: Federazione delle identità per i carichi di lavoro del parco risorse fa affidamento sul fatto che i cluster siano membri di un parco risorse, ma non richiede una configurazione a livello di parco risorse e Cloud Service Mesh richiede l'appartenenza a un parco risorse per tutti i controlli del piano di controllo e di configurazione.
Se hai abilitato GKE Enterprise, puoi utilizzare tutti questi funzioni senza costi aggiuntivi. Se utilizzi il livello GKE Standard, puoi pagare e utilizzare un sottoinsieme di queste funzionalità separatamente. Puoi scoprire di più sulle funzionalità disponibili e sugli ambienti in pagina delle opzioni.
Configura funzionalità a livello di parco risorse
Le sezioni seguenti descrivono come abilitare e configurare a livello di parco risorse le funzionalità di machine learning.
Per utilizzare una funzionalità a livello di parco risorse, nella maggior parte dei casi devi attivarla per il parco risorse e configurarlo per i membri del parco risorse. Alcune configurazioni (o altre configurazione aggiuntiva) è generalmente necessaria per utilizzare la funzionalità con cluster e carichi di lavoro.
Se hai abilitato GKE Enterprise, puoi creare configurazioni di cluster predefinite del parco risorse per alcune funzionalità, il che significa che qualsiasi i nuovi cluster che crei nel tuo parco risorse verranno creati con il le impostazioni per la funzionalità sono già configurate. Per altre funzionalità, o se non utilizzi il livello Enterprise, devi configurare la funzionalità su ogni singolo cluster.
Abilita le funzionalità con valori predefiniti a livello di parco risorse
Con GKE Enterprise, puoi creare impostazioni predefinite a livello di parco risorse per i tuoi cluster GKE per alcune funzionalità. Dopo aver creato queste impostazioni, che registrarsi durante la creazione del cluster viene configurato automaticamente con le configurazioni a livello di parco risorse. Quindi, per Ad esempio, se configuri i valori predefiniti per Policy Controller, ogni nuovo cluster che crei nel tuo parco risorse avrà la versione specificata di Policy Controller installata, con il criterio specificato gruppi e altre impostazioni. Le impostazioni predefinite del parco risorse non vengono applicate automaticamente a quelle esistenti cluster membro del parco risorse, anche se puoi sincronizzare i cluster esistenti con le impostazioni predefinite utilizzando la console Google Cloud.
La procedura generale per attivare le funzionalità con valori predefiniti a livello di parco risorse è la seguente:
Console
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Le funzionalità che supportano la configurazione di valori predefiniti a livello di parco risorse utilizzando la console Google Cloud sono elencate in Gestione delle funzionalità a livello di parco risorse.
In corrispondenza della funzionalità che hai scelto, fai clic su Configura e segui le istruzioni per attivare e configurare le impostazioni predefinite per la funzionalità.
(Facoltativo) Seleziona e sincronizza i cluster esistenti nel tuo parco risorse con le nuove impostazioni.
gcloud
- Crea un file YAML che specifichi le impostazioni predefinite del parco risorse che hai scelto per la funzionalità.
Esegui il comando
enableper la caratteristica, passando il file di configurazione. Ogni funzionalità a livello di parco risorse ha il proprio comandoenable. Ad esempio, per abilitare Cloud Service Mesh per il parco risorse con la configurazione predefinita specificata inmesh.yaml, esegui questo comando nella progetto host del parco risorse:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
In alternativa, per alcune funzionalità puoi specificare i valori predefiniti del parco risorse utilizzando i parametri per il comando fleet create o fleet update. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Terraform
Definisci una risorsa google_gke_hub_feature con un blocco fleet_default_member_config che specifica i valori predefiniti del parco risorse che hai scelto. Per dettagli e funzionalità del parco risorse supportate, consulta la documentazione di Terraform.
Non tutte le funzionalità supportano la configurazione predefinita del parco risorse utilizzando tutte queste opzioni. Per istruzioni dettagliate su come configurare i valori predefiniti del parco risorse per ogni funzionalità supportata, consulta la seguente documentazione:
- Cloud Service Mesh
- Configurazione Sync
- Policy Controller
- Postura di sicurezza
- GKE Identity Service (solo riga di comando)
- Convalida continua per Autorizzazione binaria (anteprima, solo riga di comando)
Abilita e configura le funzionalità del parco risorse su singoli cluster
In alternativa alla configurazione predefinita del parco risorse, puoi scegliere di configurare le funzionalità del parco risorse separatamente sui singoli cluster. Potrebbe essere una buona soluzione se:
- Non hai abilitato GKE Enterprise.
- Vuoi configurare un cluster esistente per utilizzare una funzionalità.
- Vuoi utilizzare servizi in cui la configurazione predefinita del parco risorse non è disponibile o non è disponibile utilizzando lo strumento che hai scelto.
Abilita le funzionalità
Tieni presente che questo passaggio non è obbligatorio per tutte le funzionalità. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Console
Se hai abilitato GKE Enterprise, puoi abilitare le funzionalità dalla pagina Feature Manager nella console Google Cloud.
Per attivare una funzionalità per il tuo parco risorse:
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Le funzionalità che possono essere attivate, ma non configurate da questa pagina sono elencate in Gestire altre funzionalità di livello enterprise.
Fai clic su Attiva nel riquadro per la funzionalità che vuoi attivare.
Fai clic sul pulsante Attiva... nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di parco risorse ha il proprio comando enable. Ad esempio:
per abilitare GKE Identity Service per il tuo parco risorse, esegui il comando seguente
progetto host del parco risorse:
gcloud container fleet identity-service enable
Consulta la documentazione di riferimento di Google Cloud SDK documentazione (e beta e equivalenti alpha) per un modello l'elenco dei comandi o i singoli set di documentazione delle funzionalità per maggiori dettagli.
Per scoprire come verificare se una funzionalità è già stata attivata e visualizzare altri stati, consulta Visualizzare lo stato delle funzionalità del parco risorse.
Configura singoli cluster
I passaggi di configurazione da seguire dipendono dalla funzionalità. Consulta le seguenti guide per ulteriori informazioni:
- Cloud Service Mesh
- Strategia di sicurezza:
- Configurazione Sync
- Policy Controller
- Servizio di identità GKE
- Ingress multi-cluster
Visualizza lo stato delle funzionalità del parco risorse
Se hai abilitato GKE Enterprise, il modo più semplice per visualizzare lo stato delle funzionalità del parco risorse è utilizzare la dashboard di Feature Manager nella console Google Cloud.
Per le funzionalità supportate, questa pagina mostra quanti cluster del parco risorse hanno il seguente stato:
- Hanno questa funzionalità attivata
- Funzionalità attivata
- Visualizza un avviso per questa funzionalità
- Visualizza un errore per questa funzionalità
Puoi anche vedere se sono state configurate impostazioni predefinite del parco risorse per la funzionalità e quanti cluster di membri del parco risorse hanno queste impostazioni. Per le funzionalità abilitate, puoi fare clic fino a una pagina dei dettagli che elenca i cluster che utilizzano la funzionalità e, se configurata, ti consente di selezionare e sincronizzare i cluster con le impostazioni predefinite del parco risorse.
Per le funzionalità che non possono essere configurate utilizzando questa pagina (elencata in Gestisci altre funzionalità di livello enterprise), puoi vedere se la funzionalità è stata abilitata nel tuo parco risorse e visualizzare un riquadro dei dettagli che mostra quanti cluster hanno la funzionalità installata e altre informazioni pertinenti.
Visualizza lo stato della funzionalità utilizzando gcloud
gcloud
Esegui questo comando per elencare tutte le funzionalità abilitate:
gcloud container fleet features list
Disattivare una funzionalità a livello di parco risorse
Per disattivare una funzionalità a livello di parco risorse, segui questi passaggi nel progetto host del parco risorse.
Console
Dalla console Google Cloud è possibile disabilitare solo le funzionalità del parco risorse elencate in Gestisci altre funzionalità di livello enterprise.
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Fai clic su Dettagli nel riquadro della funzionalità che vuoi disattivare.
Fai clic sul pulsante Disattiva... nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di parco risorse ha il proprio comando disable. Ad esempio, per disabilitare Cloud Service Mesh per il tuo parco risorse, esegui questo comando nel progetto host del parco risorse:
gcloud container fleet mesh disable
Consulta la documentazione di riferimento di Google Cloud SDK documentazione (e beta e equivalenti alpha) per un modello l'elenco dei comandi o i singoli set di documentazione delle funzionalità per maggiori dettagli.
Per il comportamento previsto dopo la disattivazione di una funzionalità per il tuo parco risorse, consulta le pertinente della funzionalità. In molti casi, la configurazione pertinente esiste nel tuo cluster, ma non puoi più gestire centralmente utilizzando i comandi del parco risorse o la console Google Cloud.
Autorizzazione delle funzionalità
Per gestire le funzionalità a livello di parco risorse, queste devono essere autorizzate tramite controllo dell'accesso basato su ruoli per eseguire le proprie funzioni sui cluster. Google Cloud usa un servizio chiamato Feature Autorizzatore, che imposta e si aggiorna automaticamente per le funzionalità abilitate per il parco risorse, evitando così di dover impostare manualmente le autorizzazioni per le funzionalità su ogni cluster, soprattutto quando Google rilascia aggiornamenti delle funzionalità.
Quando registri un cluster,
il manifest applicato al cluster contiene
ClusterRoleBinding
che assegna a Feature Autorizzatore un ruolo cluster-admin sul cluster,
e il ruolo è associato a un account di servizio denominato
service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Quando nel tuo progetto disattivi una funzionalità abilitata per il parco risorse, l'opzione
L'autore dell'autorizzazione elimina i file corrispondenti
ClusterRole e ClusterRoleBinding per la funzionalità, che rimuove
la capacità di operare sul cluster.
Visualizza Autorizzazione funzionalità negli audit log
Per visualizzare l'attività di Autorizzatore delle funzionalità in GKE log di controllo:
Apri Esplora log nella console Google Cloud.
Esegui questa query avanzata:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster che ti interessa di cui visualizzare i log.CLUSTER_LOCATION: la località di Google Cloud che in cui è stato creato il cluster.PROJECT_NUMBER: il numero del progetto Google Cloud per al progetto proprietario del cluster.
Per i cluster non GKE, scopri dove si trova Audit log di Kubernetes ed eseguire una query simile.