Un'attività comune per gli amministratori delle piattaforme è assicurarsi che i team delle applicazioni e dei servizi dispongano delle risorse di infrastruttura necessarie per eseguire i loro carichi di lavoro. A seconda dell'organizzazione, i team potrebbero dover utilizzare cluster specifici o potrebbero dover eseguire carichi di lavoro su ogni cluster di un parco risorse, con la configurazione appropriata controllo dell'accesso per ogni team. Le funzionalità di gestione dei team del parco risorse semplificano il provisioning e la gestione delle risorse di infrastruttura da parte degli amministratori come questa per i team, in quanto ogni team agisce come "tenant" separato nel parco risorse. I team possono eseguire e gestire i propri carichi di lavoro, oltre a visualizzare log, utilizzo delle risorse, tassi di errori e altre metriche, il tutto limitato all'ambito del proprio set di cluster e spazi dei nomi.
Questa pagina è rivolta agli amministratori delle piattaforme e ai membri dei team delle applicazioni che vogliono saperne di più sulle funzionalità di gestione dei team del parco risorse. Le funzionalità di gestione dei team del parco risorse sono disponibili solo per gli utenti che hanno abilitato l'intera piattaforma GKE Enterprise.
Panoramica della gestione del team del parco risorse
La gestione dei team del parco risorse si basa su due concetti chiave che offrono agli amministratori un'astrazione "a livello di team" da utilizzare durante la gestione dei parchi risorse:
- Gli ambiti dei team consentono di definire sottoinsiemi di risorse del parco risorse in base al team, con ogni ambito associato a uno o più cluster membri del parco risorse. Gli ambiti dei team possono includere cluster su Google Cloud o all'esterno di Google Cloud, anche se tutti i cluster devono essere membri dello stesso parco risorse. Un cluster può essere associato a più di un ambito del team, consentendo a team diversi di eseguire carichi di lavoro sullo stesso cluster.
- Gli spazi dei nomi del parco risorse consentono di controllare chi ha accesso a spazi dei nomi specifici all'interno del tuo parco risorse. Per impostazione predefinita, tutti gli spazi dei nomi con lo stesso nome definiti sui cluster del parco risorse vengono trattati come se fossero lo stesso spazio dei nomi. Tuttavia, la gestione dei team del parco risorse offre un modo per aggiungere un controllo più granulare sugli spazi dei nomi. Puoi creare spazi dei nomi del parco risorse in ambiti specifici dei team e quindi concedere l'accesso ai membri del team solo nei cluster nell'ambito del loro team. Gli spazi dei nomi del parco risorse possono essere utilizzati come qualsiasi altro spazio dei nomi Kubernetes sui cluster membri nell'ambito del team. Gli amministratori della piattaforma possono creare autonomamente spazi dei nomi del parco risorse o, con alcune autorizzazioni aggiuntive, delegare la creazione degli spazi dei nomi agli amministratori del team.
Esempio di gestione del team
Ad esempio, supponi di essere un amministratore della piattaforma per la società Cymbal Group che configura le risorse per due team in un unico parco risorse.
- Il team di backend è composto da un gruppo Google,
backend-team@cymbalgroup.com. Decidi che questo team può eseguire carichi di lavoro sul cluster 1 e sul cluster 2, utilizzando il loro spazio dei nomibackend. Dovrai creare un ambito del team che includa i due cluster e definire uno spazio dei nomi del parco risorsebackendall'interno di questo ambito. - Il team di frontend è composto da due gruppi Google,
frontend-admin@cymbalgroup.comefrontend-dev@cymbalgroup.com. Decidi che il team del frontend può eseguire carichi di lavoro sul cluster 2 e sul cluster 3, utilizzando gli spazi dei nomifrontend-fooefrontend-bar. Devi creare di nuovo un ambito del team con i due cluster e definire due spazi dei nomi del parco risorse all'interno di questo ambito.
Come puoi vedere nel diagramma, una volta configurati i team, entrambi possono utilizzare il cluster 2 e ogni team utilizza i propri spazi dei nomi. Inoltre, il team di backend può utilizzare il proprio spazio dei nomi sul cluster 1 e il team di frontend può utilizzare i propri spazi dei nomi sul cluster 3. Entrambi i team possono eseguire i propri carichi di lavoro sui cluster e visualizzare le proprie risorse senza dover considerare l'altro team.
In ogni caso, specifichi che i responsabili del team (singolo utente Dana nel caso del team di backend, frontend-admin membri del gruppo nel caso del team Frontend) hanno accesso admin all'ambito del team, il che significa che possono creare ruoli e associazioni di ruoli all'interno dell'ambito, mentre i membri del team rimanenti hanno accesso editor.
Anche se puoi impostare tutta questa configurazione manualmente con kubectl o altri strumenti, l'utilizzo delle funzionalità di gestione dei team semplifica e velocizza l'onboarding dei team e consente agli amministratori e ai membri dei team di utilizzare funzionalità aggiuntive in base agli ambiti dei team, ad esempio le metriche a livello di team.
In una situazione reale, probabilmente avrai anche parchi risorse separati per gli ambienti di produzione, sviluppo e test. Dovresti creare ambiti per i team di frontend e backend all'interno di ciascuno di questi parchi risorse, fornendo loro i propri cluster di produzione, sviluppo e test. Scopri di più nelle best practice e negli esempi del parco risorse.
Funzionalità abilitate per i team
Dopo aver configurato gli ambiti dei team, gli operatori e gli amministratori delle applicazioni possono visualizzare informazioni a livello di team come l'utilizzo delle risorse, i log, gli errori per spazio dei nomi e altre metriche in tutto l'ambito, semplificando la valutazione dell'utilizzo delle risorse totali, la risoluzione dei problemi e altro ancora. Per saperne di più, consulta Utilizzare la panoramica del team. Gli ambiti dei team possono essere utilizzati anche per sequenziare le implementazioni degli upgrade.
Accesso agli ambiti dei team
Consigliamo ai membri del team di accedere ai cluster dell'ambito del team con kubectl utilizzando le credenziali speciali del cluster per Connetti gateway. Connect Gateway è un servizio coerente e sicuro che consente agli utenti di accedere con i loro ID Google a qualsiasi cluster del parco risorse, incluso l'utilizzo di Google Gruppi per l'autorizzazione. Sebbene questo non sia strettamente necessario per l'autenticazione nei cluster GKE su Google Cloud, l'utilizzo delle credenziali del gateway offre un modo semplice e coerente per eseguire l'autenticazione nei cluster membri del parco risorse, anche tra progetti. Al momento la gestione dei team del parco risorse non supporta i provider di identità di terze parti.
Risorse esistenti
La gestione dei team del parco risorse può essere utilizzata anche per "onboarding" negli spazi dei nomi e nei cluster esistenti utilizzati dai team della tua organizzazione, consentendo agli amministratori e ai team di iniziare a utilizzare funzionalità basate sui team con carichi di lavoro esistenti. Se crei uno spazio dei nomi del parco risorse ed esiste già uno spazio dei nomi Kubernetes con quel nome su uno dei cluster associati all'ambito del team, questo spazio dei nomi sarà considerato un'istanza dello spazio dei nomi del parco risorse e quindi parte dell'ambito del team.
Che cosa succede dopo?
- Se sei un amministratore della piattaforma, segui le istruzioni in Configurare i team per impostare, configurare e gestire gli ambiti e gli spazi dei nomi dei team.
- Per scoprire come visualizzare le metriche a livello di team e altre informazioni specifiche per il team, consulta Utilizzare la panoramica del team (solo anteprima limitata).