Un compito comune per gli amministratori di piattaforme è assicurarsi che i team di applicazioni e servizi dispongano delle risorse infrastrutturali necessarie per eseguire i loro carichi di lavoro. A seconda dell'organizzazione, i team potrebbero dover utilizzare cluster specifici o eseguire carichi di lavoro su ogni cluster di un parco risorse, con controllo dell'accesso appropriato configurato per ogni team. Le funzionalità di gestione dei team del parco risorse semplificano il provisioning e la gestione di risorse di infrastruttura per i team da parte degli amministratori, con ogni team che agisce come un "tenant" separato nel tuo parco risorse. I team possono eseguire e gestire i carichi di lavoro, nonché visualizzare i log, l'utilizzo delle risorse, i tassi di errore e altre metriche, il tutto limitato all'ambito del proprio insieme di cluster e spazi dei nomi.
Questa pagina è rivolta agli amministratori di piattaforma e ai membri dei team delle applicazioni che vogliono saperne di più sulle funzionalità di gestione dei team del parco risorse. Le funzionalità di gestione dei team del parco risorse sono disponibili solo per gli utenti che hanno abilitato l'intera piattaforma GKE Enterprise.
Panoramica della gestione del team del parco risorse
La gestione dei team del parco risorse si basa su due concetti chiave che forniscono agli amministratori un'astrazione "a livello di team" da utilizzare durante la gestione dei parchi risorse:
- Gli ambiti dei team consentono di definire sottoinsiemi di risorse del parco risorse in base al team, con ogni ambito associato a uno o più cluster membro del parco risorse. Gli ambiti dei team possono includere cluster su Google Cloud o esterni a Google Cloud, anche se tutti i cluster devono essere membri dello stesso parco risorse. Un cluster può essere associato a più di un ambito del team, consentendo a team diversi di eseguire carichi di lavoro sullo stesso cluster.
- Gli spazi dei nomi del parco risorse offrono un modo per controllare chi può accedere a spazi dei nomi specifici all'interno del tuo parco risorse. Per impostazione predefinita, tutti gli spazi dei nomi con lo stesso nome definito nei cluster nel parco risorse vengono trattati come se fossero lo stesso spazio dei nomi. Tuttavia, la gestione dei team del parco risorse offre un modo per aggiungere un controllo più granulare sugli spazi dei nomi. Puoi creare spazi dei nomi del parco risorse all'interno di ambiti del team specifici e quindi concedere ai membri del team l'accesso solo nei cluster che rientrano nell'ambito del loro team. Gli spazi dei nomi del parco risorse possono essere utilizzati come qualsiasi altro spazio dei nomi Kubernetes nei cluster membri nell'ambito del team. Gli amministratori della piattaforma possono creare autonomamente spazi dei nomi del parco risorse oppure, con alcune autorizzazioni aggiuntive, delegare la creazione dello spazio dei nomi agli amministratori del team.
Esempio di gestione dei team
Ad esempio, supponiamo che tu sia un amministratore di piattaforma dell'azienda Cymbal Group che sta configurando risorse per due team in un unico parco risorse.
- Il team di backend è composto da un gruppo Google,
backend-team@cymbalgroup.com. Decidi che questo team può eseguire carichi di lavoro sui cluster 1 e 2, utilizzando lo spazio dei nomibackend. Crei un ambito del team che includa i due cluster e definisci uno spazio dei nomi del parco risorsebackendall'interno di questo ambito. - Il team di frontend è composto da due gruppi Google,
frontend-admin@cymbalgroup.comefrontend-dev@cymbalgroup.com. Decidi che il team di frontend può eseguire carichi di lavoro sul cluster 2 e sul cluster 3, utilizzando gli spazi dei nomifrontend-fooefrontend-bar. Crea di nuovo un ambito del team con i due cluster e definisci due spazi dei nomi del parco risorse all'interno di quell'ambito.
Come puoi vedere nel diagramma, una volta configurati i team, entrambi possono utilizzare il cluster 2 e ogni team utilizza i propri spazi dei nomi. Inoltre, il team di backend può utilizzare lo spazio dei nomi sul cluster 1 e il team di frontend può utilizzare gli spazi dei nomi sul cluster 3. Entrambi i team possono eseguire i propri carichi di lavoro sui cluster e visualizzare le proprie risorse senza dover prendere in considerazione l'altro team.
In ogni caso, devi specificare che i responsabili del team (il singolo utente Dana nel caso del team di backend, frontend-admin membri del gruppo nel caso del team Frontend) hanno accesso admin all'ambito del team, il che significa che può creare ruoli e associazioni di ruoli all'interno dell'ambito, mentre i restanti membri del team hanno accesso editor.
Sebbene sia possibile impostare manualmente tutta questa configurazione con kubectl o altri strumenti, l'utilizzo delle funzionalità di gestione dei team semplifica l'onboarding dei team e consente agli amministratori e ai membri del team di utilizzare funzionalità aggiuntive basate sugli ambiti dei team, come le metriche basate sui team.
Nella vita reale, probabilmente avrai anche parchi risorse separati per gli ambienti di produzione, sviluppo e test. Creeresti ambiti per i team di frontend e backend all'interno di ciascuno di questi parchi risorse, mettendo a loro disposizione i propri cluster di produzione, sviluppo e test. Puoi scoprire di più al riguardo consultando le nostre best practice ed esempi del parco risorse.
Funzionalità per i team
Dopo aver configurato gli ambiti dei team, gli operatori delle applicazioni e gli amministratori possono visualizzare le informazioni a livello di team, come l'utilizzo delle risorse, i log, gli errori per spazio dei nomi e altre metriche in tutto l'ambito, semplificando la valutazione delle modalità di utilizzo delle risorse totali, la risoluzione dei problemi e altro ancora. Per saperne di più a riguardo, consulta Utilizzare la panoramica del team. Gli ambiti dei team possono essere utilizzati anche per la sequenza delle implementazioni degli upgrade.
Accesso agli ambiti dei team
Consigliamo ai membri del team di accedere ai cluster nell'ambito del team con kubectl utilizzando le credenziali speciali del cluster per Connect Gateway. Connect Gateway è un servizio coerente e sicuro che consente agli utenti di accedere con i propri ID Google a qualsiasi cluster nel parco risorse, incluso l'utilizzo di Google Gruppi per l'autorizzazione. Sebbene questa operazione non sia strettamente necessaria per l'autenticazione nei cluster GKE su Google Cloud, l'utilizzo delle credenziali del gateway fornisce un modo semplice e coerente per eseguire l'autenticazione nei cluster membri del parco risorse, anche tra progetti. La gestione dei team del parco risorse al momento non supporta provider di identità di terze parti.
Risorse esistenti
La gestione dei team del parco risorse può essere utilizzata anche per integrare gli spazi dei nomi e i cluster esistenti utilizzati dai team della tua organizzazione, consentendo agli amministratori e ai team di iniziare a utilizzare le funzionalità basate sui team con i carichi di lavoro esistenti. Se crei uno spazio dei nomi del parco risorse ed esiste già uno spazio dei nomi Kubernetes con lo stesso nome su uno dei cluster associati all'ambito del team, questo spazio dei nomi verrà considerato come un'istanza dello spazio dei nomi del parco risorse e, di conseguenza, fa parte dell'ambito del team.
Che cosa succede dopo?
- Se sei un amministratore di piattaforma, segui le istruzioni in Configurare i team per impostare, configurare e gestire gli ambiti e gli spazi dei nomi dei team.
- Per scoprire come visualizzare le metriche a livello di team e altre informazioni specifiche del team, consulta Utilizzare la panoramica del team (solo anteprima limitata).