Siapkan tim untuk armada Anda

Dokumen ini ditujukan untuk admin platform yang ingin menyiapkan dan mengelola penggunaan fleet untuk tim. Fitur pengelolaan tim fleet hanya tersedia bagi pengguna yang telah mengaktifkan GKE Enterprise.

Sebelum membaca dokumen ini, pastikan Anda sudah memahami Pengelolaan tim armada.

Ringkasan penyiapan tim

Anda dapat menyiapkan tim menggunakan Google Cloud CLI, Konsol Google Cloud, atau Terraform.

Prosedur umum untuk menyiapkan tim adalah sebagai berikut:

  1. Pilih atau buat perangkat tempat Anda ingin menyiapkan akses tim, serta pastikan Anda memiliki izin dan API yang tepat untuk menyelesaikan penyiapan.
  2. (Opsional, tetapi direkomendasikan) Siapkan kontrol akses untuk Google Grup di cluster perangkat Anda.
  3. Tentukan pengguna mana yang membentuk tim. Tim dapat menyertakan Google Grup (direkomendasikan) dan/atau akun perorangan.
  4. Pilih tingkat akses ke fleet dan resource tim yang Anda inginkan untuk setiap anggota tim.
  5. Membuat ruang lingkup tim untuk tim.
  6. Tambahkan satu atau beberapa (atau semua) cluster anggota fleet ke cakupan tim.
  7. Tentukan namespace tingkat fleet dan kaitkan dengan cakupan tim.
  8. (Opsional) Gunakan Config Sync untuk menyinkronkan resource Kubernetes ke cakupan dan namespace tim.

Selanjutnya, tim bisa mendapatkan kredensial untuk mengakses cluster mereka menggunakan Connect Gateway.

Menyiapkan Google Cloud CLI

Meskipun membuat cakupan tim menggunakan Konsol Google Cloud, Anda mungkin masih perlu menyiapkan gcloud CLI untuk menyelesaikan beberapa prasyarat saat menyiapkan perangkat Anda, seperti mengaktifkan API yang diperlukan.

  1. Pastikan Anda memiliki Google Cloud CLI versi terbaru, termasuk komponen alfa Google Cloud CLI. Anda memerlukan setidaknya versi 419.0.0 untuk menggunakan perintah pengelolaan tim fleet.

  2. Jalankan perintah berikut untuk login ke Google Cloud:

    gcloud auth login

  3. Lakukan inisialisasi gcloud CLI untuk digunakan dengan project host fleet yang Anda pilih, atau menjalankan perintah berikut untuk mengatur project host fleet Anda sebagai default:

    gcloud config set project PROJECT_ID

    Anda dapat menggunakan flag --project dengan salah satu perintah berikut untuk menentukan project host fleet yang berbeda, jika diperlukan.

Siapkan perangkat Anda

Pilih atau buat perangkat tempat Anda ingin menyiapkan tim baru. Untuk mengetahui panduan dan contoh yang dapat membantu Anda menyusun armada, lihat Contoh armada dan panduan lainnya di Merencanakan perangkat Anda.

Jika Anda ingin membuat fleet bernama baru dalam project yang belum memiliki satu, jalankan perintah berikut (Anda harus menyiapkan akun Cloud CLI pertama):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Jika Anda tidak menentukan display-name, fleet baru akan dibuat dengan nama tampilan default berdasarkan nama project host fleet.

Peran IAM yang diperlukan

Jika tidak memiliki roles/owner dalam project host fleet, Anda memerlukan roles/gkehub.admin untuk membuat dan mengonfigurasi cakupan dan namespace tim. Pemilik project dapat memberikan peran ini dengan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Mengaktifkan API

Pastikan project host fleet Anda telah mengaktifkan semua API yang diperlukan, termasuk GKE Enterprise API:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Jika Anda menonaktifkan GKE Enterprise API setelah mengonfigurasi pengelolaan tim fleet, beberapa aspek fitur ini akan terus berfungsi, tetapi Anda tidak akan dapat memperbarui atau membuat cakupan tim atau namespace fleet.

Mengonfigurasi cluster untuk kontrol akses dengan Google Grup

Meskipun Anda dapat mengonfigurasi akses tim menggunakan RBAC ke cluster anggota fleet berdasarkan pengguna-demi-pengguna tanpa konfigurasi cluster tambahan, sebaiknya berikan akses ke cluster kepada anggota tim berdasarkan keanggotaan mereka dalam Grup Google tim. Mengizinkan otorisasi berdasarkan keanggotaan grup berarti Anda tidak perlu menyiapkan otorisasi terpisah untuk setiap akun, membuat kebijakan lebih mudah dikelola dan lebih mudah diaudit, serta meniadakan kebutuhan untuk menambahkan/menghapus setiap pengguna dari cluster secara manual saat mereka bergabung atau keluar dari tim. Gunakan panduan berikut untuk memastikan bahwa cluster yang ingin Anda tetapkan ke cakupan tim dapat menggunakan Google Grup dengan Gateway Connect untuk kontrol akses:

Menyiapkan tim baru

Petunjuk berikut menunjukkan cara membuat cakupan tim baru untuk sebuah tim.

Pilih izin akses tim

Pertama, tentukan atau temukan pengguna mana yang membentuk tim Anda. Bagian penting dari penyiapan tim adalah memberi anggota tim akses ke fleet, termasuk kemampuan untuk melihat cluster di konsol Google Cloud dan melihat log di seluruh cakupan tim mereka. Bergantung pada peran anggota tim, Anda juga dapat mendelegasikan kemampuan untuk membuat namespace dalam cakupan tim kepada mereka (tersedia di gkehub.ScopeAdmin atau gkehub.ScopeEditor), atau mengizinkan mereka memperbarui binding peran RBAC (khusus gkehub.ScopeAdmin). Untuk menyederhanakan penyiapan ini, pengelolaan tim fleet menyediakan tiga persona izin kustom yang dapat dipilih, yang mencakup serangkaian lengkap izin IAM dan Kubernetes RBAC yang mungkin diperlukan admin cakupan tim, editor, atau viewer saat menangani cakupan mereka. Anda kemudian dapat menetapkan persona ini untuk anggota tim saat menyiapkan tim Anda, seperti yang dijelaskan di bagian berikut.

Tabel berikut menunjukkan izin dari setiap jenis yang diberikan kepada setiap persona:

Deskripsi Jenis Persona Admin Cakupan Persona Editor Cakupan Persona Scope Viewer

Akses ke cakupan tim dan namespace-nya.

 Binding IAM pada cakupan tim roles/gkehub.ScopeAdmin roles/gkehub.ScopeEditor roles/gkehub.ScopeViewer

Akses ke project host fleet, termasuk metrik, operasi yang berjalan lama, dan gateway Connect.

 Binding IAM pada project host fleet roles/gkehub.ScopeEditorProjectLevel roles/gkehub.ScopeEditorProjectLevel roles/gkehub.ScopeViewerProjectLevel

Akses ke bucket log cakupan tim.

 Binding IAM pada project host fleet (dengan kondisi bahwa resource yang diakses adalah nama bucket). roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor

Akses ke resource Kubernetes di dalam cluster cakupan.

 RBAC Mengikatkan pada cakupan yang diterapkan ke namespace cakupan tim. Peran default Kubernetes: admin Peran default Kubernetes: edit Peran default Kubernetes: View

Seperti yang disebutkan di bagian sebelumnya, sebaiknya Anda memberi anggota tim akses ke resource mereka berdasarkan keanggotaan Google Grup, meskipun pengelolaan tim juga memungkinkan Anda memberikan akses kepada pengguna perorangan.

Jika persona ini tidak sepenuhnya memenuhi kebutuhan Anda, Anda juga dapat mengikat IAM satu per satu (menggunakan gcloud container fleet scopes add-iam-policy-binding) dan RBAC (menggunakan gcloud container fleet scopes rbacrolebindings create). Baca dokumentasi referensi Google Cloud CLI untuk mengetahui perintah lain yang dapat Anda gunakan untuk mengelola binding ini.

Menyiapkan cakupan tim

gcloud

Membuat ruang lingkup tim

Untuk membuat cakupan tim baru di fleet, jalankan perintah berikut, dengan SCOPE_NAME adalah nama pengidentifikasi unik yang telah Anda pilih untuk cakupan baru:

gcloud container fleet scopes create SCOPE_NAME

Menambahkan cluster ke cakupan tim

Hanya anggota fleet yang sudah ada yang dapat ditambahkan ke cakupan tim. Petunjuk ini berasumsi bahwa cluster yang ingin Anda tambahkan ke cakupan sudah merupakan fleet anggota. Jika perlu menambahkan cluster ke fleet Anda, ikuti langkah-langkah untuk jenis cluster Anda di Membuat fleet Anda untuk mendaftarkan . Pastikan bahwa cluster yang baru didaftarkan dikonfigurasi untuk menggunakan Google Grup untuk akses , sebagai jelaskan sebelumnya.

Cluster anggota fleet dapat ditambahkan ke sejumlah cakupan tim dalam project host fleetnya.

Untuk menambahkan cluster ke cakupan tim, jalankan perintah berikut:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Ganti kode berikut:

  • BINDING_NAME: nama yang merepresentasikan hubungan antara cluster dan cakupan tim. Sebaiknya gunakan MEMBERSHIP_NAMESCOPE_NAME.
  • MEMBERSHIP_NAME: ID unik cluster dalam perangkat (biasanya nama cluster).
  • (opsional) MEMBERSHIP_LOCATION: keanggotaan cluster lokasi HTTP/HTTPS. Jika Anda menghilangkannya, nilainya adalah global, yang merupakan default untuk pendaftaran cluster.

Membuat namespace fleet

Untuk membuat namespace dalam cakupan tim, jalankan perintah berikut:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Ganti kode berikut:

  • NAMESPACE_NAME: nama unik yang Anda pilih untuk namespace dalam fleet tersebut. Pastikan bahwa NAMESPACE_NAME tidak konflik dengan penamaan namespace Armada batasan.
  • SCOPE_NAME: cakupan tim tempat Anda ingin menggunakan namespace.

Perintah ini membuat namespace Kubernetes bernama NAMESPACE_NAME di setiap klaster dalam cakupan tim. Anggota tim dapat menggunakan NAMESPACE_NAME seperti namespace Kubernetes lainnya setelah Anda memberinya akses ke cakupan. Jika Anda sudah memiliki namespace Kubernetes yang bernama NAMESPACE_NAME di ruang lingkup tim, perangkat ini dianggap sebagai bagian dari namespace fleet baru. Hal ini terkadang disebut sebagai orientasi namespace.

Memberikan akses ke cakupan tim kepada anggota tim

Selanjutnya, pastikan Google Grup yang relevan memiliki izin IAM dan RBAC yang sesuai dan telah dikonfigurasi agar berfungsi dengan cakupan baru:

gcloud alpha container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID
  • PROJECT_ID adalah ID project host fleet Anda
  • TEAM_EMAIL adalah alamat email untuk grup Google tim.
  • SCOPE_ID adalah ID cakupan yang dibuat
  • ROLE adalah persona izin yang dimiliki grup dalam cakupan tim. Nilai untuk parameter ini dapat berupa admin (Admin Cakupan), edit (Editor Cakupan), atau view (Viewer Cakupan).

Jika Anda perlu memberi pengguna perorangan akses ke cakupan, jalankan perintah berikut, dengan USER_EMAIL adalah alamat email ID Google pengguna tersebut:

gcloud alpha container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Konsol

Membuat ruang lingkup tim

  1. Setelah memilih project host perangkat, buka bagian Tim di Konsol Google Cloud.

    Buka Teams

  2. Di bagian atas halaman, klik Create Team Scope.

  3. Di halaman Team Basics, untuk Name, masukkan nama unik untuk cakupan tim Anda. Anda tidak akan dapat mengubah nama ini setelah cakupan tim dibuat.

  4. Untuk menambahkan anggota tim ke cakupan, klik Tambahkan Anggota Tim.

    • Untuk Jenis, pilih Pengguna untuk menambahkan anggota tim satu per satu, atau Grup untuk menambahkan Google Grup (direkomendasikan).
    • Untuk Pengguna atau Grup, ketik alamat email anggota tim atau grup.
    • Untuk Role, pilih Scope Admin, Scope Editor atau Scope Viewer, yang mengonfigurasi beberapa binding IAM dan RBAC pada cakupan dan fleet, seperti yang dijelaskan dalam Memilih izin akses tim.

  5. Untuk membuat cakupan tim tanpa menambahkan cluster dan namespace pada tahap ini, klik Create Team Scope. Jika tidak, lanjutkan ke bagian berikut untuk menambahkan cluster ke cakupan.

Menambahkan cluster ke cakupan tim

Untuk mengaitkan cluster dengan cakupan tim, cluster harus sudah ada anggota armada. Jika perlu menambahkan cluster ke fleet Anda, ikuti langkah-langkah untuk jenis cluster Anda di Membuat fleet Anda untuk mendaftarkan . Pastikan bahwa cluster yang baru didaftarkan dikonfigurasi untuk menggunakan Google Grup untuk akses kontrol, sebagai jelaskan sebelumnya.

Cluster anggota fleet dapat ditambahkan ke sejumlah cakupan tim dalam project host fleetnya, sehingga memungkinkan tim yang berbeda menjalankan workload pada cluster yang sama.

  1. Di halaman Team Basics, setelah menambahkan anggota tim ke cakupan, klik Continue.
  2. Di halaman Clusters, Anda dapat memilih cluster fleet yang akan dikaitkan dengan cakupan tim ini. Di drop-down Clusters, centang cluster yang ingin ditambahkan, lalu klik OK.

Membuat namespace fleet

Anggota tim dapat menggunakan namespace fleet seperti namespace Kubernetes lainnya. Saat Anda membuat namespace fleet, namespace Kubernetes yang sesuai akan dibuat di semua cluster dalam cakupan tim, jika belum ada.

  1. Di halaman Clusters, setelah menambahkan cluster ke cakupan tim, klik Lanjutkan.
  2. Di halaman Namespaces, klik Add Namespace.
    • Untuk Name, masukkan nama unik untuk namespace dalam fleet, atau nama namespace yang sudah ada jika Anda ingin mengaktivasi namespace tersebut. Pastikan nama tersebut tidak bertentangan dengan pembatasan penamaan namespace perangkat.
  3. Untuk menambahkan lebih banyak namespace fleet ke cakupan, ulangi langkah sebelumnya.
  4. Untuk membuat cakupan tim, klik Buat Cakupan Tim. Setelah cakupan tim dibuat, Anda dapat melihat dan mengedit cakupan tim jika perlu dengan mengklik namanya di bagian Teams.

Terraform

Bagian ini menunjukkan cara menyiapkan tim baru menggunakan Terraform. Untuk selengkapnya dan contoh lainnya, lihat dokumentasi referensi untuk referensi berikut:

Membuat ruang lingkup tim

Untuk membuat cakupan tim, Anda dapat menggunakan blok berikut di Terraform konfigurasi Anda.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Ganti kode berikut:

  • TF_SCOPE_RESOURCE_NAME: nama yang Anda pilih secara unik identifikasi resource google_gke_hub_scope Terraform yang dibuat oleh diblokir.
  • SCOPE_NAME: nama pengidentifikasi unik untuk cakupan tim Anda.

Tambahkan cluster ke ruang lingkup

Hanya anggota fleet yang sudah ada yang dapat ditambahkan ke cakupan tim. Jika Anda perlu menambahkan cluster ke fleet Anda, ikuti petunjuk untuk jenis cluster Anda di Buat perangkat Anda untuk mendaftarkan cluster. Pastikan cluster yang baru didaftarkan sudah dikonfigurasi untuk menggunakan Google Grup untuk mengakses , sebagai jelaskan sebelumnya.

Untuk menambahkan cluster ke cakupan tim, gunakan blok berikut dalam konfigurasi Anda:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Ganti kode berikut:

  • TF_MEMBERSHIP_BINDING_RESOURCE_NAME: nama untuk mengidentifikasi google_gke_hub_membership_binding resource dibuat oleh blok ini.
  • BINDING_NAME: nama yang merepresentasikan hubungan antara cluster dan ruang lingkupnya. Sebaiknya gunakan MEMBERSHIP_NAMESCOPE_NAME.
  • SCOPE_NAME: nama cakupan tim Anda.
  • MEMBERSHIP_NAME: ID unik cluster dalam perangkat (biasanya nama cluster).
  • MEMBERSHIP_LOCATION: lokasi keanggotaan cluster.

Membuat namespace fleet

Anggota tim dapat menggunakan namespace fleet seperti namespace Kubernetes lainnya. Anda dapat membuat namespace baru atau mengaktivasi namespace yang sudah ada. Saat Anda membuat namespace fleet, namespace Kubernetes terkait dibuat di semua klaster dalam ruang lingkup tim, jika belum ada.

Untuk membuat namespace fleet, gunakan blok berikut dalam konfigurasi Anda:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Ganti kode berikut:

  • TF_NAMESPACE_RESOURCE_NAME: nama untuk mengidentifikasi google_gke_hub_namespace resource dibuat oleh blok ini.
  • NAMESPACE_NAME: nama unik yang Anda pilih untuk namespace. Pastikan nama ini tidak bertentangan dengan fleet pembatasan penamaan namespace.
  • SCOPE_NAME: nama cakupan tim tempat fleet namespace dibuat.

Berikan akses cakupan

Seperti yang dijelaskan di bagian sebelumnya, anggota tim dapat diberi akses ke cakupan mereka menggunakan persona izin yang mencakup izin IAM dan RBAC. Misalnya, berikut adalah konfigurasi untuk memberi pengguna individu akses ke cakupan tim:

  module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
    source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

    scope_id = "SCOPE_NAME"
    user = "USER_EMAIL"
    role = "ROLE"
  }

Ganti kode berikut:

  • TF_SCOPE_RESOURCE_NAME: nama cakupan.
  • BINDING_NAME: nama untuk mewakili binding ini.
  • SCOPE_NAME: nama cakupan tim.
  • USER_EMAIL: alamat email pengguna.
  • ROLE: persona yang ingin Anda berikan kepada pengguna, yang dapat menjadi ADMIN, EDIT, atau VIEW.

Untuk memberi Google Grup akses ke cakupan tim, gunakan group, bukan user, di konfigurasi sebelumnya, dan menggunakan alamat email untuk alamat email Grup.

Mengakses namespace fleet

Setelah penyiapan selesai, anggota tim dapat mengakses namespace di cakupan dengan mendapatkan kredensial cluster yang relevan. Untuk mendapatkan kredensial bagi cluster anggota fleet menggunakan Connect Gateway, jalankan perintah berikut, MEMBERSHIP_NAME adalah nama keanggotaan fleet cluster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Untuk detail selengkapnya, lihat Menggunakan Connect Gateway.

Kelola cakupan tim

Gunakan perintah berikut untuk mengelola cakupan tim.

gcloud

Membuat daftar cakupan tim

Untuk menampilkan semua cakupan dalam fleet, jalankan perintah berikut:

gcloud container fleet scopes list

Untuk menampilkan daftar semua cakupan yang terkait dengan cluster, jalankan perintah berikut:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Menghapus cluster dari cakupan tim

Untuk menghapus cluster dari cakupan, jalankan perintah berikut:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Menghapus cakupan tim

Untuk menghapus cakupan dari fleet Anda, jalankan perintah berikut:

gcloud container fleet scopes delete SCOPE_NAME

Konsol

Membuat daftar cakupan tim

Untuk melihat semua cakupan di fleet, dengan host komputer Anda proyek dipilih, buka bagian Teams di Konsol Google Cloud.

Buka Teams

Halaman Tim menampilkan daftar semua cakupan tim yang dibuat untuk perangkat seluler. Untuk setiap cakupan, Anda dapat melihat ringkasan penggunaan resource selama jangka waktu yang ditentukan, serta estimasi biaya bulanannya, jumlah error, dan jumlah penampung yang dimulai ulang.

Anda dapat melihat metrik penggunaan terkait biaya yang lebih mendetail dengan mengklik Pengoptimalan Biaya.

Melihat detail cakupan tim

Untuk setiap cakupan tim, Anda dapat melihat detailnya, termasuk label yang terkait dengan cakupan tersebut, anggota tim, dan log cakupan tim.

  1. Di halaman Teams, klik cakupan tim yang detailnya ingin Anda lihat.
  2. Di tab Tim, Anda dapat melihat label cakupan, jika ada, dan melihat anggota tim.
  3. Klik tab Monitoring untuk melihat metrik penggunaan resource untuk tim.
  4. Klik tab Clusters untuk melihat cluster cakupan tim.
  5. Klik tab Namespaces untuk melihat namespace fleet dalam cakupan tim ini.
  6. Klik tab Logs untuk melihat log cakupan tim.

Menambahkan atau menghapus cluster dalam cakupan tim

Untuk menambahkan atau menghapus cluster dalam cakupan tim yang ada:

  1. Buka halaman Teams di Konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim tempat Anda ingin menambahkan atau menghapus cluster. Tab Clusters menampilkan daftar cluster yang saat ini terikat dengan cakupan.

Untuk menambahkan cluster ke cakupan tim:

  1. Di bagian atas halaman, klik Add Clusters.
  2. Di drop-down Clusters, pilih cluster yang ingin ditambahkan ke cakupan, lalu klik OK.
  3. Klik Perbarui Cakupan Tim.

Untuk menghapus cluster dari cakupan tim:

  1. Pilih tab Clusters yang menampilkan daftar cluster yang saat ini terikat dengan cakupan.
  2. Klik ikon Sampah di samping cluster yang ingin Anda hapus, lalu klik Remove untuk mengonfirmasi penghapusan.

Menghapus cakupan

  1. Buka halaman Teams di Konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim yang ingin dihapus.

  3. Untuk menghapus cakupan, klik Hapus di bagian atas halaman.

  4. Konfirmasi penghapusan dengan memasukkan nama cakupan, lalu klik Hapus sekali lagi.

Mengelola namespace fleet

gcloud

Gunakan perintah berikut untuk mengelola namespace dalam cakupan tim.

Mencantumkan namespace fleet

Untuk menampilkan daftar semua namespace yang dibuat menggunakan fleet scopes namespaces create dalam cakupan, jalankan perintah berikut:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Menghapus namespace fleet

Untuk menghapus namespace fleet, jalankan perintah berikut:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Perlu diperhatikan bahwa hal yang terjadi saat Anda menghapus namespace fleet bergantung pada cara Anda menambahkan namespace:

  • Jika Anda membuat namespace fleet baru: Perintah ini akan menghapus namespace fleet. Tindakan ini juga akan menghapus namespace Kubernetes yang dibuat sebagai hasil dari pembuatan namespace fleet, bersama dengan workloadnya.
  • Jika Anda mengaktivasi namespace Kubernetes yang sudah ada: Perintah ini akan menghapus namespace fleet. Namespace asli yang Anda aktifkan tidak dihapus.

Konsol

Untuk mengelola namespace perangkat dalam cakupan tim Anda:

  1. Buka halaman Teams di Konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim yang namespace fleet-nya ingin Anda kelola.

Mencantumkan namespace fleet

Dalam cakupan tim, pilih tab Namespaces yang menampilkan daftar namespace yang dibuat dalam cakupan ini.

Lihat detail namespace

Untuk setiap namespace fleet, Anda dapat melihat label yang terkait dengan namespace tersebut, serta workload dan log yang difilter namespace.

  1. Pilih tab Namespaces yang menampilkan daftar namespace fleet yang dibuat dalam cakupan tim.
  2. Klik namespace fleet yang detailnya ingin Anda lihat.
  3. Di tab Detail, Anda dapat melihat namespace perangkat dan label cakupan.
    • Agar dapat melihat beban kerja untuk namespace ini, klik Lihat Beban Kerja.
    • Di halaman Workloads, Anda dapat melihat beban kerja yang sudah difilter menurut namespace dan cluster yang terkait dengan cakupan tim untuk namespace tersebut.
  4. Di tab Log, Anda dapat melihat log cakupan fleet berdasarkan namespace.

Menambahkan namespace fleet ke cakupan tim

  1. Untuk menambahkan namespace fleet baru, di bagian atas halaman, klik Add Namespaces.
  2. Masukkan nama namespace fleet baru, pastikan nama tersebut tidak bertentangan dengan batasan penamaan namespace perangkat. Untuk menambahkan namespace lainnya, klik Add Namespace.
  3. Klik Perbarui Cakupan Tim.

Menghapus namespace fleet

  1. Pilih tab Namespaces yang menampilkan daftar namespace fleet yang dibuat dalam cakupan tim.
  2. Klik ikon Sampah di samping namespace yang ingin dihapus.
  3. Konfirmasi penghapusan dengan memasukkan nama namespace Anda, lalu klik Delete lagi.

Perhatikan bahwa tindakan yang terjadi jika Anda melakukannya bergantung pada cara Anda menambahkan namespace:

  • Jika Anda membuat namespace fleet baru: Namespace fleet akan dihapus. Semua namespace Kubernetes yang dibuat sebagai hasil dari pembuatan namespace fleet juga akan dihapus, beserta workloadnya.
  • Jika Anda mengaktivasi namespace Kubernetes yang sudah ada: Namespace fleet akan dihapus. Namun, namespace asli yang Anda aktifkan tidak dihapus.

Memperbarui nama namespace fleet

Anda tidak dapat mengedit namespace fleet setelah dibuat. Jika Anda perlu memperbarui nama namespace fleet, hapus namespace, lalu buat yang baru dalam cakupan tim.

Mengelola akses tim

gcloud

Membuat daftar anggota tim

Untuk menampilkan daftar semua anggota tim yang diberi akses ke cakupan tim menggunakan perintah add-app-operator-binding, beserta persona izin mereka, gunakan perintah berikut:

gcloud alpha container hub scopes list-app-operator-bindings SCOPE_NAME

Ganti kode berikut:

  • SCOPE_NAME: ID unik cakupan tim.

Menghapus anggota tim

Untuk menghapus akses cakupan anggota tim (diberikan dengan add-app-operator-binding), gunakan perintah berikut:

gcloud alpha container hub scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

atau

gcloud alpha container hub scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Ganti kode berikut:

  • SCOPE_NAME: ID unik cakupan tim.
  • TEAM_EMAIL atau USER_EMAIL: email grup atau pengguna yang ingin Anda hapus dari tim.

Jika anggota tim diberi akses dengan perintah rbacrolebindings create, gunakan perintah rbacrolebindings delete untuk menghapus anggota tim.

Memperbarui akses cakupan tim

Untuk memperbarui akses cakupan tim (misalnya, untuk memberi peran yang berbeda kepada anggota tim, atau untuk memperbarui alamat email grup), hapus anggota tim dari cakupan seperti yang dijelaskan di bagian sebelumnya, lalu beri mereka akses lagi dengan detail baru.

Jika anggota tim diberi akses dengan perintah rbacrolebindings create, Anda dapat menggunakan perintah rbacrolebindings update untuk memperbarui akses anggota.

Konsol

Menambahkan atau menghapus anggota tim

Untuk mengelola anggota tim dalam cakupan tim:

  1. Buka halaman Teams di Konsol Google Cloud:

    Buka Teams

  2. Pilih cakupan tim yang anggotanya ingin Anda kelola.

Untuk menambahkan anggota tim baru ke cakupan:

  1. Di bagian atas halaman, klik Tambahkan Anggota Tim. Ikuti petunjuk seperti yang dijelaskan di bagian Membuat cakupan tim.
  2. Klik Perbarui Cakupan Tim.

Untuk menghapus anggota tim dari cakupan:

  1. Di tab Team, klik ikon Sampah di samping anggota tim yang ingin Anda hapus dari cakupan tim.
  2. Klik Delete untuk mengonfirmasi penghapusan.

Anda tidak dapat mengedit detail anggota tim di Konsol Google Cloud. Untuk memperbarui akses cakupan di konsol Google Cloud (misalnya, untuk memberi peran yang berbeda kepada anggota tim, atau untuk memperbarui alamat email grup), hapus anggota tim dari cakupan, lalu tambahkan lagi dengan detail baru.

Pembatasan penamaan namespace perangkat

Nama berikut ini dicadangkan dan dilarang untuk digunakan saat Anda membuat namespace fleet dalam cakupan tim:

  • default
  • kube-system
  • gke-connect
  • kube-node-lease
  • kube-public
  • istio-system
  • gatekeeper-system
  • asm-system
  • config-management-system

Kelola label

Untuk membantu mengidentifikasi dan mengelola cakupan, Anda dapat menggunakan Google Cloud CLI untuk membuat dan mengelola label untuk namespace fleet dan cakupan tim Anda.

Label yang ditambahkan ke cakupan tim diwarisi oleh semua namespace fleet di cakupannya, yang berarti repositori tersebut melekat ke semua namespace Kubernetes di cluster cakupan. Label yang ditambahkan langsung ke namespace fleet hanya dilampirkan pada namespace Kubernetes yang sesuai. Jika label cakupan tim dan label namespace fleet memiliki kunci yang sama, label cakupan tim akan lebih diprioritaskan.

Anda dapat mengerjakan beberapa pasangan nilai kunci sekaligus dengan menambahkan karakter yang dipisahkan koma daftar pasangan nilai kunci.

Mengelola label namespace fleet

Membuat namespace fleet dengan label

Untuk membuat namespace fleet dengan label, jalankan perintah berikut:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Ganti kode berikut:

  • NAMESPACE_NAME: nama unik yang Anda pilih untuk namespace dalam fleet tersebut.
  • SCOPE_NAME: cakupan tim tempat Anda ingin menggunakan namespace.
  • KEY: kunci untuk pasangan nilai kunci label.
  • VALUE: nilai untuk pasangan nilai kunci label.

Menambahkan atau memperbarui label untuk namespace fleet yang ada

Untuk menambahkan atau memperbarui label pada namespace yang sudah ada, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Menghapus label namespace fleet

Untuk menghapus label namespace fleet tertentu, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Ganti KEY dengan daftar kunci yang dipisahkan koma untuk label yang ingin Anda hapus.

Untuk menghapus semua label namespace fleet, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Mengelola label cakupan tim

Membuat cakupan tim dengan label

Untuk membuat cakupan dengan label, jalankan perintah berikut:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Ganti kode berikut:

  • SCOPE_NAME: nama pengidentifikasi unik yang Anda miliki yang dipilih untuk ruang lingkup tim baru Anda.
  • KEY: kunci untuk pasangan nilai kunci label.
  • VALUE: nilai untuk pasangan nilai kunci label.

Menambahkan atau memperbarui label untuk cakupan tim yang ada

Untuk menambahkan atau memperbarui label untuk cakupan yang ada, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Menghapus label cakupan tim

Untuk menghapus label tertentu, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Ganti KEY dengan daftar kunci yang dipisahkan koma untuk label yang ingin Anda hapus.

Untuk menghapus semua label, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Memecahkan masalah

Jika Anda tidak dapat memperbarui atau membuat resource pengelolaan tim fleet, pastikan GKE Enterprise API diaktifkan. Jika Anda menonaktifkan GKE Enterprise API di project host fleet setelah mengonfigurasi pengelolaan tim fleet, hal berikut akan terjadi:

  • Semua cakupan tim dan namespace fleet yang Anda buat akan terus berfungsi seperti yang diharapkan, tetapi tidak dapat diperbarui.
  • Cakupan tim dan namespace fleet yang ada dapat dihapus.
  • Cakupan tim dan namespace fleet baru tidak dapat dibuat.

Apa langkah selanjutnya?