Fleet memungkinkan Anda mengelola fitur perusahaan dan fitur lain yang didukung fleet di beberapa cluster secara bersamaan. Hal ini memungkinkan Anda, misalnya, menerapkan kumpulan kebijakan umum atau membuat mesh layanan tunggal di seluruh fleet cluster. Halaman ini memberikan ringkasan tentang cara mengelola fitur untuk fleet Anda. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan menggunakan setiap fitur, lihat dokumentasinya.
Jika telah mengaktifkan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengelola fitur di konsol Google Cloud. Semua pengguna fleet dapat mengelola fitur menggunakan command line.
Beberapa fitur memungkinkan Anda membuat konfigurasi fitur default tingkat fleet untuk cluster fleet. Misalnya, Anda dapat memastikan bahwa setiap cluster yang Anda buat di fleet telah menginstal dan mengonfigurasi Pengontrol Kebijakan. Konfigurasi default tingkat fleet hanya tersedia untuk pengguna yang telah mengaktifkan GKE Enterprise.
Anda dapat mempelajari lebih lanjut cara kerja pengelolaan fitur tingkat fleet di cluster Anda "di balik layar" di bagian Otorisasi fitur.
Fitur tingkat fleet
Anda dapat mengelola fitur berikut di tingkat fleet:
- Cloud Service Mesh Terkelola
- Postur keamanan
- Config Sync
- Pengontrol Kebijakan
- GKE Identity Service
- Multi Cluster Ingress
- Multi-cluster Services (khusus cluster GKE)
- Validasi berkelanjutan untuk Otorisasi Biner
Daftar ini tidak mencakup semua fitur yang menggunakan atau memerlukan fleet. Misalnya, Workload Identity Federation fleet mengandalkan cluster yang menjadi anggota fleet, tetapi tidak memerlukan konfigurasi di tingkat fleet, dan Cloud Service Mesh memerlukan keanggotaan fleet untuk semua opsi penyiapan dan bidang kontrol.
Jika telah mengaktifkan GKE Enterprise, Anda dapat menggunakan semua fitur ini tanpa dikenai biaya tambahan. Jika menggunakan tingkat standar GKE, Anda dapat membayar dan menggunakan sebagian fitur ini secara terpisah. Anda dapat mengetahui lebih lanjut fitur yang tersedia di lingkungan mana di halaman Opsi deployment.
Menyiapkan fitur tingkat fleet
Bagian berikut menjelaskan cara mengaktifkan dan mengonfigurasi fitur tingkat armada.
Untuk menggunakan fitur tingkat grup, biasanya Anda mengaktifkan fitur untuk grup dan mengonfigurasinya untuk anggota grup. Beberapa konfigurasi (atau penyiapan tambahan lainnya) umumnya diperlukan untuk benar-benar menggunakan fitur dengan cluster dan workload Anda.
Jika telah mengaktifkan GKE Enterprise, Anda dapat membuat konfigurasi cluster default armada untuk beberapa fitur, yang berarti bahwa setiap cluster tingkat perusahaan baru yang Anda buat di armada akan dibuat dengan setelan yang Anda tentukan untuk fitur tersebut yang telah dikonfigurasi. Untuk fitur lain, atau jika tidak menggunakan tingkat perusahaan, Anda harus mengonfigurasi fitur di setiap cluster.
Mengaktifkan fitur dengan setelan default tingkat fleet
Dengan GKE Enterprise, Anda dapat membuat setelan default tingkat fleet untuk cluster GKE untuk beberapa fitur. Setelah membuat setelan ini, setiap cluster GKE yang Anda daftarkan di tingkat perusahaan dan daftarkan selama pembuatan cluster akan otomatis dikonfigurasi dengan konfigurasi tingkat fleet Anda. Jadi, misalnya, jika Anda menyiapkan setelan default untuk Pengontrol Kebijakan, setiap cluster baru yang Anda buat di fleet akan menginstal versi Pengontrol Kebijakan yang Anda tentukan, dengan paket kebijakan yang Anda tentukan dan setelan lainnya. Setelan default fleet tidak otomatis diterapkan ke cluster anggota fleet yang sudah ada, meskipun Anda dapat menyinkronkan cluster yang ada ke setelan default menggunakan konsol Google Cloud.
Proses umum untuk mengaktifkan fitur dengan setelan default tingkat armada adalah sebagai berikut:
Konsol
Di project host fleet, buka halaman Pengelola Fitur:
Fitur yang mendukung konfigurasi default tingkat armada menggunakan Google Cloud Console tercantum di bagian Pengelolaan Fitur Tingkat Armada.
Untuk fitur yang dipilih, klik Konfigurasi dan ikuti petunjuk untuk mengaktifkan dan mengonfigurasi setelan default untuk fitur tersebut.
Opsional: Pilih dan sinkronkan cluster yang ada di fleet Anda ke setelan baru.
gcloud
- Buat file YAML yang menentukan default fleet yang Anda pilih untuk fitur ini.
Jalankan perintah
enable
untuk fitur tersebut, dengan meneruskan file konfigurasi Anda. Setiap fitur tingkat armada memiliki perintahenable
-nya sendiri. Misalnya, untuk mengaktifkan Cloud Service Mesh untuk fleet Anda dengan konfigurasi default yang ditentukan dimesh.yaml
, jalankan perintah berikut di project host fleet Anda:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
Atau, untuk beberapa fitur, Anda dapat menentukan default armada menggunakan parameter ke perintah fleet create
atau fleet update
. Lihat panduan untuk fitur yang Anda pilih untuk mengetahui detail selengkapnya.
Terraform
Tentukan resource google_gke_hub_feature
dengan blok fleet_default_member_config
yang menentukan default fleet yang Anda pilih. Untuk mengetahui detail dan fitur fleet yang didukung, lihat dokumentasi Terraform.
Tidak semua fitur mendukung konfigurasi default armada menggunakan semua opsi ini. Untuk petunjuk mendetail tentang cara menyiapkan setelan default armada untuk setiap fitur yang didukung, lihat dokumentasi berikut:
- Cloud Service Mesh
- Config Sync
- Pengontrol Kebijakan
- Postur keamanan
- GKE Identity Service (khusus command line)
- Validasi berkelanjutan untuk Otorisasi Biner (pratinjau, khusus command line)
Mengaktifkan dan mengonfigurasi fitur fleet di setiap cluster
Sebagai alternatif untuk konfigurasi default fleet, Anda dapat memilih untuk mengonfigurasi fitur fleet secara terpisah di setiap cluster. Hal ini mungkin merupakan opsi yang baik jika:
- Anda tidak mengaktifkan GKE Enterprise.
- Anda ingin mengonfigurasi cluster yang ada untuk menggunakan fitur.
- Anda ingin menggunakan layanan yang konfigurasi default armadanya tidak tersedia, atau tidak tersedia menggunakan alat yang Anda pilih.
Mengaktifkan fitur
Perhatikan bahwa langkah ini tidak diperlukan untuk semua fitur. Lihat panduan untuk fitur yang Anda pilih untuk mengetahui detail selengkapnya.
Konsol
Jika telah mengaktifkan GKE Enterprise, Anda dapat mengaktifkan fitur dari halaman Pengelola Fitur di Konsol Google Cloud.
Untuk mengaktifkan fitur bagi fleet Anda:
Di project host fleet, buka halaman Pengelola Fitur:
Fitur yang dapat diaktifkan tetapi tidak dikonfigurasi dari halaman ini tercantum di bagian Kelola fitur lain yang siap untuk perusahaan.
Klik Aktifkan di panel untuk fitur yang ingin Anda aktifkan.
Klik tombol Enable... di panel detail yang ditampilkan.
gcloud
Setiap fitur tingkat armada memiliki perintah enable
-nya sendiri. Misalnya, untuk mengaktifkan Identity Service GKE untuk fleet, Anda menjalankan perintah berikut di project host fleet:
gcloud container fleet identity-service enable
Lihat dokumentasi referensi Google Cloud SDK (dan yang setara dengan beta dan alpha) untuk mengetahui daftar lengkap perintah, atau setiap kumpulan dokumentasi fitur untuk mengetahui detail selengkapnya.
Untuk mempelajari cara memeriksa apakah fitur telah diaktifkan dan melihat status fitur lainnya, lihat Melihat status fitur fleet.
Mengonfigurasi setiap cluster
Langkah-langkah konfigurasi yang Anda ikuti bergantung pada fiturnya. Lihat panduan berikut untuk informasi selengkapnya:
- Cloud Service Mesh
- Postur keamanan:
- Config Sync
- Pengontrol Kebijakan
- GKE Identity Service
- Multi Cluster Ingress
Melihat status fitur fleet
Jika Anda telah mengaktifkan GKE Enterprise, cara termudah untuk melihat status fitur fleet adalah dengan menggunakan dasbor Pengelola Fitur di konsol Google Cloud.
Untuk fitur yang didukung, halaman ini menampilkan jumlah cluster armada Anda yang memiliki status berikut:
- Aktifkan fitur ini
- Fitur ini berhasil diaktifkan
- Memiliki peringatan untuk fitur ini
- Terjadi error untuk fitur ini
Anda juga dapat melihat apakah setelan default fleet telah dikonfigurasi untuk fitur tersebut, dan jumlah cluster anggota fleet yang memiliki setelan ini. Untuk fitur yang diaktifkan, Anda dapat mengklik halaman detail yang mencantumkan cluster yang menggunakan fitur tersebut, dan, jika dikonfigurasi, memungkinkan Anda memilih dan menyinkronkan cluster ke setelan default armada.
Untuk fitur yang tidak dapat dikonfigurasi menggunakan halaman ini (tercantum di bagian Kelola fitur lain yang siap untuk perusahaan), Anda dapat melihat apakah fitur telah diaktifkan untuk fleet, dan melihat panel detail yang menunjukkan jumlah cluster yang telah menginstal fitur dan informasi relevan lainnya.
Melihat status fitur menggunakan gcloud
gcloud
Jalankan perintah berikut untuk menampilkan semua fitur yang diaktifkan:
gcloud container fleet features list
Menonaktifkan fitur tingkat fleet
Untuk menonaktifkan fitur di tingkat fleet, lakukan hal berikut di project host fleet Anda.
Konsol
Hanya fitur fleet yang tercantum di bagian Kelola fitur lain yang siap untuk perusahaan yang dapat dinonaktifkan dari konsol Google Cloud.
Di project host fleet, buka halaman Pengelola Fitur:
Klik Details di panel untuk fitur yang ingin Anda nonaktifkan.
Klik tombol Nonaktifkan... di panel detail yang ditampilkan.
gcloud
Setiap fitur tingkat armada memiliki perintah disable
-nya sendiri. Misalnya, untuk menonaktifkan Cloud Service Mesh untuk fleet Anda, jalankan perintah berikut di project host fleet:
gcloud container fleet mesh disable
Lihat dokumentasi referensi Google Cloud SDK (dan yang setara dengan beta dan alpha) untuk mengetahui daftar lengkap perintah, atau setiap kumpulan dokumentasi fitur untuk mengetahui detail selengkapnya.
Untuk mengetahui perilaku yang diharapkan setelah Anda menonaktifkan fitur untuk armada, lihat dokumentasi fitur yang relevan. Dalam banyak kasus, konfigurasi yang relevan masih ada di cluster, tetapi Anda tidak dapat lagi mengelola fitur secara terpusat menggunakan perintah fleet atau konsol Google Cloud.
Otorisasi fitur
Untuk mengelola fitur di tingkat fleet, fitur tersebut harus diberi otorisasi melalui kontrol akses berbasis peran untuk menjalankan fungsinya di cluster. Google Cloud menggunakan layanan yang disebut Feature Authorizer yang secara otomatis menetapkan dan memperbarui izin untuk fitur yang diaktifkan untuk fleet, sehingga Anda tidak perlu menetapkan izin fitur secara manual di setiap cluster, terutama saat Google merilis update fitur.
Saat Anda mendaftarkan cluster,
manifes yang diterapkan ke cluster berisi
ClusterRoleBinding
yang memberi Feature Authorizer peran cluster-admin
di cluster,
dan peran tersebut dilampirkan ke akun layanan bernama
service-project-number@gcp-sa-gkehub.
.
Saat Anda menonaktifkan fitur yang diaktifkan untuk fleet di project, Pengizin
Fitur akan menghapus ClusterRole
dan ClusterRoleBinding
yang sesuai untuk fitur tersebut, yang akan menghapus
kemampuan fitur untuk beroperasi di cluster.
Melihat Pemberi Otorisasi Fitur di log audit
Untuk melihat aktivitas Pemberi Otorisasi Fitur di log audit GKE:
Buka Logs Explorer di Konsol Google Cloud.
Jalankan kueri lanjutan berikut:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub."
Ganti kode berikut:
CLUSTER_NAME
: nama cluster yang ingin Anda lihat lognya.CLUSTER_LOCATION
: lokasi Google Cloud tempat cluster dibuat.PROJECT_NUMBER
: nomor project Google Cloud untuk project yang memiliki cluster.
Untuk cluster non-GKE, cari tahu tempat log audit Kubernetes disimpan, dan jalankan kueri serupa.