Configurar equipos para tu flota

Esta página está dirigida a administradores de plataformas que quieran configurar y gestionar el uso de la flota de vehículos de un equipo.

Antes de leer esta página, asegúrate de que conoces la gestión de equipos de flota.

Descripción general de la configuración del equipo

Puedes configurar equipos con la CLI de Google Cloud, la Google Cloud consola o Terraform.

El procedimiento general para configurar un equipo es el siguiente:

  1. Selecciona o crea la flota en la que quieras configurar el acceso del equipo y asegúrate de que tienes los permisos y las APIs correctos para completar la configuración.
  2. (Opcional, pero recomendado) Configura el control de acceso de Grupos de Google en los clústeres de tu flota.
  3. Decide qué usuarios formarán el equipo. Un equipo puede incluir Grupos de Google (opción recomendada) o cuentas individuales.
  4. Elige el nivel de acceso a la flota y a los recursos del equipo que quieras para cada miembro.
  5. Crea un ámbito de equipo para el equipo.
  6. Añade uno o varios (o todos) clústeres que formen parte de la flota al permiso de equipo.
  7. Define espacios de nombres a nivel de flota y asócialos al ámbito del equipo.
  8. Opcional: Usa Config Sync para sincronizar recursos de Kubernetes con ámbitos de equipo y espacios de nombres.

El equipo puede obtener credenciales para acceder a sus clústeres mediante Connect Gateway.

Configurar Google Cloud CLI

Aunque crees ámbitos de equipo mediante la Google Cloud consola, es posible que tengas que configurar gcloud CLI para completar algunos requisitos previos al configurar tu flota, como habilitar las APIs necesarias.

  1. Asegúrate de que tienes la versión más reciente de Google Cloud CLI, incluido el componente alfa de Google Cloud CLI. Necesitas al menos la versión 419.0.0 para usar los comandos de gestión de equipos de flota.

  2. Ejecuta el siguiente comando para iniciar sesión en Google Cloud:

    gcloud auth login

  3. Inicializa la CLI de gcloud para usarla con el proyecto host de la flota que hayas elegido o ejecuta el siguiente comando para definir el proyecto host de la flota como predeterminado:

    gcloud config set project PROJECT_ID

    Si es necesario, puede usar la marca --project con cualquiera de los siguientes comandos para especificar otro proyecto host de la flota.

Configurar tu flota

Selecciona o crea la flota en la que quieras configurar un nuevo equipo. Para ver directrices y ejemplos que te ayuden a estructurar tus flotas, consulta Ejemplos de flotas y otras guías de la sección Planificar tu flota.

Si quieres crear una flota con nombre en un proyecto que aún no tenga ninguna, ejecuta el siguiente comando (primero tendrás que configurar la CLI de Google Cloud):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Si no especificas un display-name, la nueva flota se creará con un nombre visible predeterminado basado en el nombre del proyecto host de la flota.

Roles de gestión de identidades y accesos necesarios

Si no tienes roles/owner en el proyecto host de la flota, necesitas roles/gkehub.admin para crear y configurar ámbitos y espacios de nombres de equipo. El propietario de un proyecto puede conceder este rol con el siguiente comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Habilitar APIs

Asegúrate de que tu proyecto host de la flota tenga habilitadas todas las APIs necesarias, incluida la API de GKE:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   container.googleapis.com

Si inhabilitas la API de GKE después de configurar la gestión de equipos de la flota, algunos aspectos de la función seguirán funcionando, pero no podrás actualizar ni crear ámbitos de equipo o espacios de nombres de la flota.

Configurar clústeres para el control de acceso con Grupos de Google

Aunque puedes configurar el acceso de un equipo mediante RBAC a los clústeres miembros de la flota de forma individual para cada usuario sin necesidad de configurar los clústeres, te recomendamos que concedas acceso a los clústeres a los miembros del equipo en función de su pertenencia a un grupo de Google del equipo. Si la autorización se basa en la pertenencia a un grupo, no tendrás que configurar una autorización independiente para cada cuenta, lo que simplifica la gestión y la auditoría de las políticas. Además, no tendrás que añadir ni quitar manualmente usuarios de los clústeres cuando se unan al equipo o lo abandonen. Sigue las instrucciones de las siguientes guías para asegurarte de que los clústeres que quieras asignar a los ámbitos de equipo puedan usar Grupos de Google con Connect Gateway para controlar el acceso:

Configurar un nuevo equipo

En las siguientes instrucciones se explica cómo crear un nuevo ámbito de equipo para un equipo.

Elegir los permisos de acceso del equipo

Primero, decide o descubre qué usuarios forman tu equipo. Una parte importante de la configuración del equipo es conceder a estos miembros acceso a la flota, incluida la capacidad de ver clústeres en la consola de Google Cloud y de ver los registros de todo el equipo. En función del rol del miembro del equipo, también puedes delegar en él la capacidad de crear espacios de nombres en el ámbito de su equipo (disponible en gkehub.ScopeAdmin o gkehub.ScopeEditor) o permitirle actualizar las vinculaciones de roles de RBAC (solo gkehub.ScopeAdmin).

Para simplificar esta configuración, la gestión de equipos de la flota ofrece tres perfiles de permisos predefinidos que incluyen un conjunto completo de permisos de gestión de identidades y accesos y de control de acceso basado en roles de Kubernetes que un administrador, editor o lector de un ámbito de equipo puede necesitar al trabajar con su ámbito. También puedes seleccionar un rol personalizado con permisos RBAC personalizados en un clúster. Después, puedes asignar estas buyer personas a los miembros del equipo al configurarlo, tal como se describe en la siguiente sección.

En la siguiente tabla se muestran los permisos de cada tipo que se conceden a cada perfil:

Descripción Tipo Perfil de administrador de ámbito Perfil de Scope Editor Perfil de Scope Viewer Perfil de rol personalizado

Acceso al ámbito del equipo y a sus espacios de nombres.

 Vinculación de gestión de identidades y accesos en el ámbito del equipo roles/gkehub.scopeAdmin roles/gkehub.scopeEditor roles/gkehub.scopeViewer roles/gkehub.scopeViewer

Acceso al proyecto del host de la flota, incluidas las métricas, las operaciones de larga duración y Connect Gateway.

 Vinculación de IAM en el proyecto del host de la flota roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeViewerProjectLevel roles/gkehub.scopeEditorProjectLevel

Acceso al segmento de registro del ámbito del equipo.

 Enlace de gestión de identidades y accesos en el proyecto host de la flota (con la condición de que el recurso al que se acceda sea el nombre del segmento). roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor

Acceso a los recursos de Kubernetes dentro de los clústeres del ámbito.

 Vinculación de RBAC en el ámbito que se aplica a los espacios de nombres del ámbito del equipo. Rol predeterminado de Kubernetes: admin Rol predeterminado de Kubernetes: editar Rol predeterminado de Kubernetes: ver ClusterRole definido por el usuario

Como se ha mencionado en la sección anterior, te recomendamos que concedas acceso a los recursos a los miembros del equipo en función de su pertenencia a un grupo de Google, aunque la gestión de equipos también te permite conceder acceso a usuarios concretos.

Si estas buyer personas no se ajustan a tus necesidades, también puedes vincular roles de gestión de identidades y accesos (con gcloud container fleet scopes add-iam-policy-binding) y de control de acceso basado en roles (con gcloud container fleet scopes rbacrolebindings create) de forma individual. Consulta la documentación de referencia de la CLI de Google Cloud para ver más comandos que puedes usar para gestionar estas vinculaciones.

Configurar un ámbito de equipo

gcloud

Crear un ámbito de equipo

Para crear un nuevo ámbito de equipo en una flota, ejecuta el siguiente comando, donde SCOPE_NAME es el nombre identificativo único que has elegido para el nuevo ámbito:

gcloud container fleet scopes create SCOPE_NAME

Añadir clústeres a un ámbito de equipo

Solo se pueden añadir a los ámbitos de equipo los miembros de la flota que ya estén en ella. En estas instrucciones se da por hecho que el clúster que quieres añadir al ámbito ya es miembro de una flota. Si necesitas añadir el clúster a tu flota, sigue las instrucciones correspondientes a tu tipo de clúster en Crear tu flota para registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, tal como se ha descrito anteriormente.

Un clúster miembro de una flota se puede añadir a cualquier número de ámbitos de equipo en su proyecto host de la flota.

Para añadir un clúster a un ámbito de equipo, ejecuta el siguiente comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Haz los cambios siguientes:

  • BINDING_NAME: un nombre que representa la relación entre el clúster y el ámbito del equipo. Te recomendamos que uses MEMBERSHIP_NAME-SCOPE_NAME.
  • MEMBERSHIP_NAME: el identificador único del clúster en la flota (normalmente, el nombre del clúster).
  • (Opcional) MEMBERSHIP_LOCATION: la ubicación de los miembros del clúster. Si lo omite, el valor será global, que es el valor predeterminado para los registros de clústeres.

Crear espacios de nombres de flota

Para crear un espacio de nombres en un ámbito de equipo, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Haz los cambios siguientes:

Este comando crea un espacio de nombres de Kubernetes llamado NAMESPACE_NAME en cada clúster del ámbito del equipo. Los miembros del equipo pueden usar NAMESPACE_NAME como cualquier otro espacio de nombres de Kubernetes después de que les hayas concedido acceso a su ámbito. Si ya tienes un espacio de nombres de Kubernetes llamado NAMESPACE_NAME en el ámbito del equipo, se considera parte del nuevo espacio de nombres de la flota. A veces se denomina incorporación del espacio de nombres.

Conceder acceso al ámbito del equipo a los miembros del equipo

Usar roles predefinidos

A continuación, asegúrate de que los grupos de Google pertinentes tengan configurados los permisos de gestión de identidades y accesos y de control de acceso basado en roles adecuados para trabajar con el nuevo ámbito:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID
  • PROJECT_ID es el ID de tu proyecto host de la flota.
  • TEAM_EMAIL es la dirección de correo de un grupo de Google de un equipo.
  • SCOPE_ID es el ID del ámbito que se ha creado.
  • ROLE es el perfil de permisos que tiene el grupo en el ámbito del equipo. Los valores de este parámetro pueden ser admin (administrador del ámbito), edit (editor del ámbito) o view (lector del ámbito).

Si necesitas conceder acceso al ámbito a un usuario concreto, ejecuta el siguiente comando, donde USER_EMAIL es la dirección de correo del ID de Google del usuario:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Usar roles personalizados

Para usar un rol personalizado, primero debes añadirlo a la función de flota rbacrolebindingactuation:

gcloud container fleet rbacrolebindingactuation update --allowed-custom-roles CUSTOM_ROLE --project PROJECT_ID

A continuación, asegúrate de que los grupos de Google pertinentes tengan configurados los permisos de gestión de identidades y accesos y de control de acceso basado en roles adecuados para trabajar con el nuevo ámbito:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --group=TEAM_EMAIL --project PROJECT_ID

Haz los cambios siguientes:

  • PROJECT_ID: el ID de tu proyecto host de la flota.
  • TEAM_EMAIL: la dirección de correo de un grupo de Google de un equipo.
  • SCOPE_ID : el ID del ámbito que se ha creado.
  • CUSTOM_ROLE: un ClusterRole de Kubernetes que se ha añadido a la lista de permitidos en la función rbacrolebindingactuation. Para que la función funcione correctamente, el ClusterRole debe existir en cada clúster añadido al ámbito. Sin embargo, los recursos se siguen creando aunque no esté presente el ClusterRole.

Si necesitas conceder acceso al ámbito a un usuario concreto, ejecuta el siguiente comando, donde USER_EMAIL es la dirección de correo del ID de Google del usuario:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --user=USER_EMAIL --project PROJECT_ID

Consola

Crear un ámbito de equipo

  1. Con el proyecto host de la flota seleccionado, vaya a la sección Equipos de la Google Cloud consola.

    Ir a Equipos

  2. En la parte superior de la página, haz clic en Crear ámbito de equipo.

  3. En la página Información básica del equipo, en Nombre, introduce un nombre único para el ámbito del equipo. No podrás cambiar este nombre una vez que se haya creado el ámbito del equipo.

  4. Para añadir miembros del equipo al ámbito, haz clic en Añadir miembro del equipo.

    • En Tipo, selecciona Usuario para añadir un miembro del equipo o Grupo para añadir un grupo de Google (opción recomendada).
    • En Usuario o grupo, escribe la dirección de correo del miembro del equipo o del grupo.
    • En Rol, selecciona Administrador de ámbito, Editor de ámbito o Lector de ámbito, que configuran varias vinculaciones de gestión de identidades y accesos y de control de acceso basado en roles en el ámbito y la flota, tal como se describe en Elegir permisos de acceso de equipo.

  5. Para crear el ámbito de equipo sin añadir clústeres ni espacios de nombres en este paso, haga clic en Crear ámbito de equipo. De lo contrario, ve a la siguiente sección para añadir clústeres al ámbito.

Añadir clústeres al ámbito del equipo

Para asociar un clúster a un ámbito de equipo, el clúster debe ser un miembro de flota. Si necesitas añadir el clúster a tu flota, sigue las instrucciones correspondientes a tu tipo de clúster en Crear tu flota para registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, tal como se ha descrito anteriormente.

Un clúster miembro de una flota se puede añadir a cualquier número de ámbitos de equipo de su proyecto de host de flota, lo que permite que diferentes equipos ejecuten cargas de trabajo en el mismo clúster.

  1. En la página Aspectos básicos del equipo, después de añadir miembros del equipo a tu ámbito, haz clic en Continuar.
  2. En la página Clústeres, puede seleccionar los clústeres de la flota que quiera asociar a este ámbito de equipo. En el menú desplegable Clusters, marca los clústeres que quieras añadir y haz clic en Aceptar.

Crear espacios de nombres de flota

Los miembros del equipo pueden usar los espacios de nombres de la flota como cualquier otro espacio de nombres de Kubernetes. Cuando creas un espacio de nombres de flota, se crea un espacio de nombres de Kubernetes correspondiente en todos los clústeres del ámbito del equipo, si aún no existe.

  1. En la página Clusters (Clústeres), después de añadir clústeres al ámbito de tu equipo, haz clic en Continue (Continuar).
  2. En la página Espacios de nombres, haga clic en Añadir espacio de nombres.
  3. Para añadir más espacios de nombres de flota al ámbito, repite el paso anterior.
  4. Para crear el ámbito del equipo, haz clic en Crear ámbito del equipo. Una vez creado el ámbito de equipo, puede verlo y editarlo si es necesario haciendo clic en su nombre en la sección Equipos.

Terraform

En esta sección se explica cómo configurar un nuevo equipo con Terraform. Para obtener más información y otros ejemplos, consulta la documentación de referencia de los siguientes recursos:

Crear un ámbito de equipo

Para crear un ámbito de equipo, puedes usar el siguiente bloque en tu configuración de Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Haz los cambios siguientes:

  • TF_SCOPE_RESOURCE_NAME: el nombre que elijas para identificar de forma única el recurso google_gke_hub_scope de Terraform creado por este bloque.
  • SCOPE_NAME: un nombre identificador único para el ámbito de tu equipo.

Añadir clústeres al ámbito

Solo se pueden añadir a los ámbitos de equipo los miembros de la flota que ya estén en ella. Si necesitas añadir el clúster a tu flota, sigue las instrucciones correspondientes a tu tipo de clúster en Crear tu flota para registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, tal como se ha descrito anteriormente.

Para añadir un clúster a un ámbito de equipo, usa el siguiente bloque en tu configuración:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Haz los cambios siguientes:

  • TF_MEMBERSHIP_BINDING_RESOURCE_NAME: nombre para identificar el recurso google_gke_hub_membership_binding creado por este bloque.
  • BINDING_NAME: un nombre que representa la relación entre el clúster y el ámbito. Te recomendamos que uses MEMBERSHIP_NAME-SCOPE_NAME.
  • SCOPE_NAME: el nombre de tu ámbito de equipo.
  • MEMBERSHIP_NAME: el identificador único del clúster en la flota (normalmente, el nombre del clúster).
  • MEMBERSHIP_LOCATION: la ubicación de los miembros del clúster.

Crear espacios de nombres de flota

Los miembros del equipo pueden usar los espacios de nombres de la flota como cualquier otro espacio de nombres de Kubernetes. Puedes crear un espacio de nombres o incorporar uno que ya tengas. Cuando creas un espacio de nombres de flota, se crea un espacio de nombres de Kubernetes correspondiente en todos los clústeres del ámbito del equipo, si aún no existe.

Para crear un espacio de nombres de flota, usa el siguiente bloque en tu configuración:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Haz los cambios siguientes:

  • TF_NAMESPACE_RESOURCE_NAME: nombre para identificar el recurso google_gke_hub_namespace creado por este bloque.
  • NAMESPACE_NAME: un nombre único que has elegido para el espacio de nombres de la flota. Asegúrate de que este nombre no entre en conflicto con las restricciones de nomenclatura del espacio de nombres de la flota.
  • SCOPE_NAME: el nombre del ámbito del equipo en el que se crea el espacio de nombres de la flota.

Conceder acceso a un ámbito

Usar roles predefinidos

Como se describe en la sección anterior, se puede conceder acceso a los miembros del equipo a su ámbito mediante perfiles de permisos que incluyen permisos de gestión de identidades y accesos y de control de acceso basado en roles. Por ejemplo, esta es una configuración para conceder acceso a un usuario a un ámbito de equipo:

module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
  source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role = "ROLE"
}

Haz los cambios siguientes:

  • TF_SCOPE_RESOURCE_NAME: el nombre del ámbito.
  • BINDING_NAME: un nombre para representar esta vinculación.
  • SCOPE_NAME: el nombre del ámbito del equipo.
  • USER_EMAIL: la dirección de correo del usuario.
  • ROLE: el perfil que quieres asignar al usuario, que puede ser ADMIN, EDIT o VIEW.

Para conceder acceso a un grupo de Google a un ámbito de equipo, usa group en lugar de user en la configuración anterior y usa la dirección de correo del grupo de Google del equipo.

Usar roles personalizados

Para usar un rol personalizado, primero debes añadirlo a la función de flota rbacrolebindingactuation:

resource "google_gke_hub_feature" "rbacrolebindingactuation" {
  name = "rbacrolebindingactuation"
  location = "global"
  spec {
    rbacrolebindingactuation {
      allowed_custom_roles = ["CUSTOM_ROLE"]
    }
  }
}

La siguiente configuración concede acceso RBAC a un usuario concreto en un ámbito de equipo:

resource "google_gke_hub_scope_rbac_role_binding" "BINDING_NAME" {
  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role {
    custom_role = "CUSTOM_ROLE"
  }
  depends_on = [google_gke_hub_feature.rbacrolebindingactuation]
}

Haz los cambios siguientes:

  • BINDING_NAME: un nombre para representar esta vinculación.
  • SCOPE_NAME: el nombre del ámbito del equipo.
  • USER_EMAIL: la dirección de correo del usuario.
  • CUSTOM_ROLE: el ClusterRole de Kubernetes que se ha añadido a la lista de permitidos en la función rbacrolebindingactuation. Para que la función funcione correctamente, el ClusterRole debe existir en cada clúster añadido al ámbito. Sin embargo, los recursos se siguen creando aunque no esté presente el ClusterRole.

Se necesitan permisos de gestión de identidades y accesos adicionales a nivel de proyecto y de ámbito, que se pueden añadir siguiendo los ejemplos de Terraform de vinculación de operador.

Acceder a espacios de nombres de flotas

Una vez completada la configuración, los miembros del equipo pueden acceder a los espacios de nombres de su ámbito obteniendo las credenciales del clúster correspondientes. Para obtener las credenciales de un clúster miembro de una flota mediante Connect Gateway, ejecuta el siguiente comando, donde MEMBERSHIP_NAME es el nombre de miembro de la flota del clúster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Para obtener más información, consulta el artículo Usar Connect Gateway.

Gestionar los ámbitos de un equipo

Usa los siguientes comandos para gestionar los ámbitos de los equipos.

gcloud

Listar ámbitos de equipo

Para enumerar todos los ámbitos de una flota, ejecuta el siguiente comando:

gcloud container fleet scopes list

Para enumerar todos los ámbitos asociados a un clúster, ejecuta el siguiente comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Quitar clústeres de los ámbitos de equipo

Para quitar un clúster de un ámbito, ejecuta el siguiente comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Eliminar un ámbito de equipo

Para eliminar un ámbito de tu flota, ejecuta el siguiente comando:

gcloud container fleet scopes delete SCOPE_NAME

Consola

Listar ámbitos de equipo

Para ver todos los ámbitos de una flota, selecciona tu proyecto host de la flota y ve a la sección Equipos de la Google Cloud consola.

Ir a Equipos

En la página Equipos se muestra una lista de todos los ámbitos de equipo creados para tu flota. En cada ámbito, puedes ver un resumen de su uso de recursos durante el periodo especificado, así como su coste mensual estimado, el número de errores y el número de reinicios de contenedores.

Para ver métricas de uso más detalladas relacionadas con los costes, haga clic en Optimización de costes.

Ver los detalles del ámbito del equipo

En cada ámbito de equipo, puedes ver detalles como las etiquetas asociadas a ese ámbito, los miembros del equipo y los registros del ámbito del equipo.

  1. En la página Equipos, haz clic en el ámbito del equipo cuyos detalles quieras ver.
  2. En la pestaña Equipo, puedes ver las etiquetas de ámbito, si las hay, y los miembros del equipo.
  3. Haz clic en la pestaña Monitorización para ver las métricas de utilización de recursos del equipo.
  4. Haz clic en la pestaña Clusters (Clústeres) para ver los clústeres del ámbito del equipo.
  5. Haz clic en la pestaña Espacios de nombres para ver los espacios de nombres de la flota en este ámbito de equipo.
  6. Haz clic en la pestaña Registros para ver los registros del ámbito del equipo.

Añadir o eliminar clústeres en un ámbito de equipo

Para añadir o eliminar clústeres en un ámbito de equipo ya creado, sigue estos pasos:

  1. Ve a la página Equipos de la Google Cloud consola:

    Ir a Equipos

  2. Selecciona el ámbito del equipo en el que quieras añadir o eliminar clústeres. En la pestaña Clústeres se muestra una lista de los clústeres vinculados al ámbito.

Para añadir clústeres a un ámbito de equipo, sigue estos pasos:

  1. En la parte superior de la página, haz clic en Añadir clústeres.
  2. En el desplegable Clusters, selecciona los clústeres que quieras añadir al ámbito y haz clic en Aceptar.
  3. Haz clic en Actualizar ámbito del equipo.

Para eliminar clústeres de un ámbito de equipo, sigue estos pasos:

  1. Selecciona la pestaña Clústeres, que muestra una lista de los clústeres vinculados al ámbito.
  2. Haz clic en el icono de la papelera situado junto al clúster que quieras eliminar y, a continuación, haz clic en Quitar para confirmar la eliminación.

Eliminar un ámbito

  1. Ve a la página Equipos de la Google Cloud consola:

    Ir a Equipos

  2. Selecciona el ámbito de equipo que quieras eliminar.

  3. Para eliminar el ámbito, en la parte superior de la página, haz clic en Eliminar.

  4. Para confirmar la eliminación, introduce el nombre del ámbito y vuelve a hacer clic en Eliminar.

Gestionar espacios de nombres de flotas

gcloud

Usa los siguientes comandos para gestionar los espacios de nombres en los ámbitos de equipo.

Mostrar espacios de nombres de flota

Para enumerar todos los espacios de nombres creados con fleet scopes namespaces create en un ámbito, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Eliminar un espacio de nombres de flota

Para eliminar un espacio de nombres de flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Ten en cuenta que lo que ocurre cuando eliminas un espacio de nombres de flota depende de cómo hayas añadido el espacio de nombres:

  • Si has creado un nuevo espacio de nombres de flota: este comando elimina el espacio de nombres de flota. También elimina los espacios de nombres de Kubernetes que se hayan creado como resultado de la creación del espacio de nombres de la flota, junto con sus cargas de trabajo.
  • Si has incorporado un espacio de nombres de Kubernetes: este comando elimina el espacio de nombres de la flota. El espacio de nombres original que has incorporado no se elimina.

Consola

Para gestionar los espacios de nombres de la flota en el ámbito de tu equipo, sigue estos pasos:

  1. Ve a la página Equipos de la Google Cloud consola:

    Ir a Equipos

  2. Selecciona el ámbito del equipo cuyos espacios de nombres de flotas quieras gestionar.

Mostrar espacios de nombres de flota

En el ámbito de tu equipo, selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres creados en este ámbito.

Ver los detalles de un espacio de nombres

En cada espacio de nombres de la flota, puedes ver las etiquetas asociadas a ese espacio de nombres, así como las cargas de trabajo y los registros filtrados por espacio de nombres.

  1. Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el ámbito del equipo.
  2. Haga clic en el espacio de nombres de la flota cuyos detalles quiera ver.
  3. En la pestaña Detalles, puedes ver el espacio de nombres de la flota y las etiquetas de ámbito.
    • Para ver las cargas de trabajo de este espacio de nombres, haz clic en Ver cargas de trabajo.
    • En la página Cargas de trabajo, puedes ver las cargas de trabajo ya filtradas por el espacio de nombres y los clústeres asociados al ámbito del equipo de ese espacio de nombres.
  4. En la pestaña Registros, puedes ver los registros del ámbito de la flota por espacio de nombres.

Añadir espacios de nombres de flota a un ámbito de equipo

  1. Para añadir un nuevo espacio de nombres de flota, en la parte superior de la página, haz clic en Añadir espacios de nombres.
  2. Introduce el nombre del nuevo espacio de nombres de la flota. Asegúrate de que no entre en conflicto con las restricciones de nomenclatura de los espacios de nombres de la flota. Para añadir más espacios de nombres, haz clic en Añadir espacio de nombres.
  3. Haz clic en Actualizar ámbito del equipo.

Eliminar un espacio de nombres de flota

  1. Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el ámbito del equipo.
  2. Haz clic en el icono de la papelera situado junto al espacio de nombres que quieras eliminar.
  3. Para confirmar la eliminación, introduce el nombre de tu espacio de nombres y vuelve a hacer clic en Eliminar.

Ten en cuenta que lo que ocurre cuando lo haces depende de cómo hayas añadido el espacio de nombres:

  • Si has creado un espacio de nombres de flota: se elimina el espacio de nombres de flota. También se eliminarán los espacios de nombres de Kubernetes que se hayan creado al crear el espacio de nombres de la flota, así como sus cargas de trabajo.
  • Si has incorporado un espacio de nombres de Kubernetes: se elimina el espacio de nombres de la flota. Sin embargo, el espacio de nombres original que has incorporado no se elimina.

Actualizar el nombre de un espacio de nombres de flota

No puedes editar un espacio de nombres de flota una vez que se ha creado. Si necesitas actualizar el nombre de un espacio de nombres de flota, elimina el espacio de nombres y crea uno nuevo en el ámbito del equipo.

Gestionar el acceso del equipo

gcloud

Mostrar miembros del equipo

Para mostrar todos los miembros del equipo a los que se ha concedido acceso al ámbito del equipo con el comando add-app-operator-binding, junto con sus perfiles de permisos, utiliza el siguiente comando:

gcloud beta container fleet scopes list-app-operator-bindings SCOPE_NAME

Haz los cambios siguientes:

  • SCOPE_NAME: identificador único del ámbito del equipo.

Eliminar a miembros del equipo

Para quitar el acceso a un ámbito a un miembro del equipo (concedido con add-app-operator-binding), usa el siguiente comando:

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

o

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Haz los cambios siguientes:

  • SCOPE_NAME: identificador único del ámbito del equipo.
  • TEAM_EMAIL o USER_EMAIL: la dirección de correo del grupo o del usuario que quieras quitar del equipo.

Si se le concedió acceso al miembro del equipo con el comando rbacrolebindings create, usa el comando rbacrolebindings delete para quitarlo.

Actualizar el acceso al ámbito del equipo

Para actualizar el acceso al ámbito del equipo (por ejemplo, para asignar un rol diferente a los miembros del equipo o para actualizar una dirección de correo de grupo), quita al miembro del equipo del ámbito tal como se describe en la sección anterior y, a continuación, vuelve a darle acceso con sus nuevos detalles.

Si se le ha concedido acceso al miembro del equipo con el comando rbacrolebindings create, puedes usar el comando rbacrolebindings update para actualizar su acceso.

Consola

Añadir o eliminar miembros del equipo

Para gestionar los miembros de un equipo en un ámbito de equipo, sigue estos pasos:

  1. Ve a la página Equipos de la Google Cloud consola:

    Ir a Equipos

  2. Selecciona el ámbito del equipo cuyos miembros quieras gestionar.

Para añadir nuevos miembros del equipo al ámbito, sigue estos pasos:

  1. En la parte superior de la página, haz clic en Añadir miembros del equipo. Sigue las instrucciones que se detallan en la sección Crear un ámbito de equipo.
  2. Haz clic en Actualizar ámbito del equipo.

Para quitar miembros del equipo del ámbito, sigue estos pasos:

  1. En la pestaña Equipo, haz clic en el icono de la papelera situado junto al miembro del equipo que quieras quitar del ámbito del equipo.
  2. Haz clic en Eliminar para confirmar la acción.

No puedes editar los detalles de un miembro del equipo en la consola Google Cloud . Para actualizar el acceso al ámbito en la consola Google Cloud (por ejemplo, para asignar un rol diferente a los miembros del equipo o para actualizar una dirección de correo de grupo), elimina al miembro del equipo del ámbito y vuelve a añadirlo con los nuevos detalles.

Restricciones de nomenclatura de espacios de nombres de flotas

Los siguientes nombres están reservados y no se pueden usar al crear un espacio de nombres de flota en un ámbito de equipo:

  • default
  • kube-system
  • gke-connect
  • kube-node-lease
  • kube-public
  • istio-system
  • gatekeeper-system
  • asm-system
  • config-management-system
  • anthos-creds
  • anthos-identity-service
  • capi-kubeadm-bootstrap-system
  • capi-system
  • cert-manager
  • gke-managed-metrics-server
  • gke-system
  • config-management-monitoring
  • istio-gateway
  • knative-serving
  • resource-group-system
  • gke-mcs
  • appdevexperience
  • vm-system
  • gmp-system
  • gmp-public
  • gke-gmp-system
  • gke-managed-filestorecsi
  • apigee
  • apigee-system

Gestionar etiquetas

Para ayudarte a identificar y gestionar tus ámbitos, puedes usar la CLI de Google Cloud para crear y gestionar etiquetas de tus espacios de nombres de flota y ámbitos de equipo.

Las etiquetas añadidas a un ámbito de equipo se heredan en todos los espacios de nombres de la flota del ámbito, lo que significa que se adjuntan a todos los espacios de nombres de Kubernetes de los clústeres del ámbito. Las etiquetas añadidas directamente a un espacio de nombres de flota solo se adjuntan a los espacios de nombres de Kubernetes correspondientes. Si una etiqueta de ámbito de equipo y una etiqueta de espacio de nombres de flota tienen la misma clave, la etiqueta de ámbito de equipo tiene prioridad.

Puedes trabajar con varios pares clave-valor a la vez añadiendo una lista de pares clave-valor separados por comas.

Gestionar etiquetas de espacio de nombres de flota

Crear un espacio de nombres de flota con etiquetas

Para crear un espacio de nombres de flota con etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Haz los cambios siguientes:

  • NAMESPACE_NAME: el nombre único que has elegido para el espacio de nombres de la flota.
  • SCOPE_NAME: el ámbito del equipo en el que quieras usar el espacio de nombres.
  • KEY: la clave del par clave-valor de la etiqueta.
  • VALUE: el valor del par clave-valor de la etiqueta.

Añadir o actualizar etiquetas de espacios de nombres de flotas

Para añadir o actualizar etiquetas de un espacio de nombres, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Eliminar etiquetas de espacio de nombres de flota

Para eliminar una etiqueta de espacio de nombres de flota específica, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Sustituye KEY por una lista separada por comas de las claves de las etiquetas que quieras quitar.

Para eliminar todas las etiquetas de espacio de nombres de la flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Gestionar etiquetas de ámbito de equipo

Crear un ámbito de equipo con etiquetas

Para crear un ámbito con una etiqueta, ejecuta el siguiente comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Haz los cambios siguientes:

  • SCOPE_NAME: el nombre identificador único que has elegido para tu nuevo ámbito de equipo.
  • KEY: la clave del par clave-valor de la etiqueta.
  • VALUE: el valor del par clave-valor de la etiqueta.

Añadir o actualizar etiquetas de ámbitos de equipo

Para añadir o actualizar etiquetas de un ámbito, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Eliminar etiquetas de ámbito de equipo

Para eliminar etiquetas específicas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Sustituye KEY por una lista separada por comas de las claves de las etiquetas que quieras quitar.

Para eliminar todas las etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Siguientes pasos