I parchi risorse ti consentono di gestire funzionalità di livello enterprise e altre funzionalità abilitate per il parco risorse su più cluster contemporaneamente. In questo modo, ad esempio, puoi applicare un insieme comune di criteri o creare un mesh di servizi singoli nel tuo parco risorse di cluster. Questa pagina fornisce una panoramica su come gestire le funzionalità per il tuo parco veicoli. Per maggiori informazioni sulla configurazione e sull'utilizzo delle singole funzionalità, consulta la relativa documentazione.
Se hai abilitato la versione Enterprise di Google Kubernetes Engine (GKE), puoi gestire le funzionalità nella console Google Cloud. Tutti gli utenti del parco possono gestire le funzionalità utilizzando la riga di comando.
Alcune funzionalità ti consentono di creare una configurazione predefinita a livello di parco risorse per i cluster del parco risorse. Ad esempio, puoi assicurarti che in ogni cluster creato nel tuo parco risorse sia installato e configurato Policy Controller. La configurazione predefinita a livello di parco risorse è disponibile solo per gli utenti che hanno attivato GKE Enterprise.
Per scoprire di più su come funziona la gestione delle funzionalità a livello di parco risorse nei tuoi cluster, consulta la sezione Autorizzazione delle funzionalità.
Funzionalità a livello di parco risorse
A livello di parco risorse puoi gestire le seguenti funzionalità:
- Cloud Service Mesh gestito
- Postura di sicurezza
- Config Sync
- Policy Controller
- Servizio di identità GKE
- Ingress multi-cluster
- Servizi multi-cluster (solo cluster GKE)
- Convalida continua per l'Autorizzazione binaria
Questo elenco non include tutte le funzionalità che utilizzano o richiedono parchi. Ad esempio, la federazione Workload Identity del parco risorse si basa sul fatto che i cluster siano membri di un parco risorse, ma non richiede la configurazione a livello di parco risorse, mentre Cloud Service Mesh richiede l'appartenenza al parco risorse per tutte le opzioni di configurazione e del control plane.
Se hai attivato GKE Enterprise, puoi utilizzare tutte queste funzionalità senza costi aggiuntivi. Se utilizzi il livello GKE standard, puoi pagare e utilizzare un sottoinsieme di queste funzionalità separatamente. Per scoprire di più sulle funzionalità disponibili in ciascun ambiente, consulta la pagina Opzioni di deployment.
Configurare le funzionalità a livello di parco risorse
Le sezioni seguenti descrivono come abilitare e configurare le funzionalità a livello di parco risorse.
Per utilizzare una funzionalità a livello di parco risorse, nella maggior parte dei casi devi attivarla per il parco risorse e configurarla per i relativi membri. In genere è necessaria una certa configurazione (o un'altra configurazione aggiuntiva) per utilizzare effettivamente la funzionalità con i tuoi cluster e carichi di lavoro.
Se hai attivato GKE Enterprise, puoi creare configurazioni dei cluster predefinite per il parco risorse per alcune funzionalità, il che significa che tutti i nuovi cluster di livello Enterprise che crei nel parco risorse verranno creati con le impostazioni specificate per la funzionalità già configurate. Per altre funzionalità o se non utilizzi il livello Enterprise, devi configurare la funzionalità su ogni singolo cluster.
Attivare le funzionalità con i valori predefiniti a livello di parco risorse
Con GKE Enterprise, puoi creare impostazioni predefinite a livello di parco risorse per i tuoi cluster GKE per alcune funzionalità. Dopo aver creato queste impostazioni, qualsiasi cluster GKE che registri al livello Enterprise e registri durante la creazione del cluster viene configurato automaticamente con le configurazioni a livello di parco risorse. Ad esempio, se configuri i valori predefiniti per Policy Controller, su ogni nuovo cluster creato nel tuo parco risorse verrà installata la versione specificata di Policy Controller, con i pacchetti di criteri e altre impostazioni specificati. Le impostazioni predefinite del parco risorse non vengono applicate automaticamente ai cluster dei membri del parco risorse esistenti, anche se puoi sincronizzare i cluster esistenti con le impostazioni predefinite utilizzando la console Google Cloud.
La procedura generale per attivare le funzionalità con i valori predefiniti a livello di parco risorse è la seguente:
Console
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Le funzionalità che supportano la configurazione dei valori predefiniti a livello di parco risorse utilizzando la console Google Cloud sono elencate in Gestione delle funzionalità a livello di parco risorse.
Per la funzionalità scelta, fai clic su Configura e segui le istruzioni per attivare e configurare i valori predefiniti per la funzionalità.
(Facoltativo) Seleziona e sincronizza i cluster esistenti nel tuo parco risorse con le nuove impostazioni.
gcloud
- Crea un file YAML che specifichi i valori predefiniti del parco risorse scelti per la funzionalità.
Esegui il comando
enableper la funzionalità, passando il file di configurazione. Ogni funzionalità a livello di flotta ha il proprio comandoenable. Ad esempio, per attivare Cloud Service Mesh per il tuo parco risorse con la configurazione predefinita specificata inmesh.yaml, esegui il seguente comando nel progetto host del parco risorse:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
In alternativa, per alcune funzionalità puoi specificare i valori predefiniti del parco utilizzando i parametri del comando fleet create o fleet update. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Terraform
Definisci una risorsa google_gke_hub_feature con un blocco fleet_default_member_config che specifichi i valori predefiniti della flotta che hai scelto. Per informazioni dettagliate e sulle funzionalità del parco risorse supportate, consulta la documentazione di Terraform.
Non tutte le funzionalità supportano la configurazione predefinita del parco risorse che utilizza tutte queste opzioni. Per istruzioni dettagliate su come configurare i valori predefiniti per il parco per ogni funzionalità supportata, consulta la seguente documentazione:
- Cloud Service Mesh
- Config Sync
- Policy Controller
- Postura di sicurezza
- GKE Identity Service (solo riga di comando)
- Convalida continua per l'autorizzazione binaria (anteprima, solo riga di comando)
Attivare e configurare le funzionalità del parco risorse su singoli cluster
In alternativa alla configurazione predefinita del parco risorse, puoi scegliere di configurare le funzionalità del parco risorse separatamente sui singoli cluster. Questa potrebbe essere una buona opzione se:
- GKE Enterprise non è abilitato.
- Vuoi configurare un cluster esistente per utilizzare una funzionalità.
- Vuoi utilizzare servizi in cui la configurazione predefinita del parco risorse non è disponibile o non è disponibile con lo strumento scelto.
Abilita le funzionalità
Tieni presente che questo passaggio non è obbligatorio per tutte le funzionalità. Per ulteriori dettagli, consulta la guida relativa alla funzionalità scelta.
Console
Se hai attivato GKE Enterprise, puoi attivare le funzionalità dalla pagina Gestione funzionalità nella console Google Cloud.
Per attivare una funzionalità per il tuo parco risorse:
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Le funzionalità che possono essere attivate, ma non configurate da questa pagina, sono elencate in Gestisci altre funzionalità di livello enterprise.
Fai clic su Attiva nel riquadro della funzionalità che vuoi attivare.
Fai clic sul pulsante Attiva nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di flotta ha il proprio comando enable. Ad esempio, per attivare il servizio GKE Identity per il tuo parco risorse, esegui il seguente comando nel progetto host del parco risorse:
gcloud container fleet identity-service enable
Per un elenco completo dei comandi, consulta la documentazione di riferimento dell'SDK Google Cloud (e i relativi equivalenti beta e alpha) oppure i set di documentazione delle singole funzionalità per ulteriori dettagli.
Per scoprire come verificare se una funzionalità è già stata attivata e visualizzare lo stato di altre funzionalità, consulta Visualizzare lo stato delle funzionalità del parco risorse.
Configurare singoli cluster
I passaggi di configurazione da seguire dipendono dalla funzionalità. Per ulteriori informazioni, consulta le seguenti guide:
- Cloud Service Mesh
- Security posture:
- Config Sync
- Policy Controller
- Servizio di identità GKE
- Ingress multi-cluster
Visualizzare lo stato delle funzionalità del parco risorse
Se hai attivato GKE Enterprise, il modo più semplice per visualizzare lo stato delle funzionalità del parco risorse è utilizzare la dashboard Gestione funzionalità nella console Google Cloud.
Per le funzionalità supportate, questa pagina mostra quanti cluster del tuo parco risorse hanno il seguente stato:
- Avere attivato questa funzionalità
- Avere attivato correttamente questa funzionalità
- Ricevere un avviso per questa funzionalità
- Ho riscontrato un errore per questa funzionalità
Puoi anche vedere se sono state configurate impostazioni predefinite del parco risorse per la funzionalità e quanti cluster membri del parco risorse hanno queste impostazioni. Per le funzionalità abilitate, puoi fare clic su una pagina dei dettagli che elenca i cluster che utilizzano la funzionalità e, se configurata, ti consente di selezionare e sincronizzare i cluster con le impostazioni predefinite del parco risorse.
Per le funzionalità che non possono essere configurate utilizzando questa pagina (elencate in Gestire altre funzionalità pronte per le aziende), puoi vedere se la funzionalità è stata attivata per il tuo parco risorse e visualizzare un riquadro dei dettagli che mostra quanti cluster hanno installato la funzionalità e altre informazioni pertinenti.
Visualizzare lo stato delle funzionalità utilizzando gcloud
gcloud
Esegui il comando seguente per elencare tutte le funzionalità abilitate:
gcloud container fleet features list
Disattivare una funzionalità a livello di parco risorse
Per disattivare una funzionalità a livello di parco risorse, svolgi le seguenti operazioni nel progetto host del parco risorse.
Console
Solo le funzionalità del parco risorse elencate in Gestisci altre funzionalità di livello enterprise possono essere disattivate dalla console Google Cloud.
Nel progetto host del parco risorse, vai alla pagina Gestore funzionalità:
Fai clic su Dettagli nel riquadro della funzionalità da disattivare.
Fai clic sul pulsante Disattiva nel riquadro dei dettagli visualizzato.
gcloud
Ogni funzionalità a livello di parco ha il proprio comando disable. Ad esempio, per disattivare Cloud Service Mesh per il tuo parco, esegui il seguente comando nel progetto host del parco:
gcloud container fleet mesh disable
Per un elenco completo dei comandi, consulta la documentazione di riferimento dell'SDK Google Cloud (e i relativi equivalenti beta e alpha) oppure i set di documentazione delle singole funzionalità per ulteriori dettagli.
Per il comportamento previsto dopo la disattivazione di una funzionalità per il tuo parco veicoli, consulta la documentazione della funzionalità pertinente. In molti casi, la configurazione pertinente è ancora presente nel cluster, ma non puoi più gestire la funzionalità in modo centralizzato utilizzando i comandi di Fleet o la console Google Cloud.
Autorizzazione delle funzionalità
Per gestire le funzionalità a livello di parco risorse, queste devono essere autorizzate tramite il controllo dell'accesso basato sui ruoli per poter svolgere le proprie funzioni sui cluster. Google Cloud utilizza un servizio chiamato Feature Authorizer che imposta e aggiorna automaticamente le autorizzazioni per le funzionalità abilitate per il parco risorse, evitandoti di dover impostare manualmente le autorizzazioni delle funzionalità su ogni cluster, in particolare quando Google rilascia aggiornamenti delle funzionalità.
Quando registri un cluster, il manifest applicato al cluster contiene un ClusterRoleBinding che assegna all'Autorizzatore funzionalità il ruolo cluster-admin nel cluster e il ruolo è associato a un account di servizio denominato service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Quando disattivi una funzionalità abilitata per il parco risorse nel tuo progetto, Feature Authorizer elimina i valori ClusterRole e ClusterRoleBinding corrispondenti per la funzionalità, rimuovendo la relativa capacità di operare sul cluster.
Visualizzare l'autorizzazione delle funzionalità negli audit log
Per visualizzare l'attività dell'autorizzazione delle funzionalità negli audit log di GKE:
Apri Esplora log nella console Google Cloud.
Esegui la seguente query avanzata:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster per cui vuoi visualizzare i log.CLUSTER_LOCATION: la località Google Cloud in cui è stato creato il cluster.PROJECT_NUMBER: il numero del progetto Google Cloud per il progetto proprietario del cluster.
Per i cluster non GKE, scopri dove sono archiviati i log di controllo di Kubernetes ed esegui una query simile.