Un compito comune per gli amministratori di piattaforme è assicurarsi che i team di applicazioni e servizi dispongano delle risorse di infrastruttura necessarie per eseguire i loro carichi di lavoro. A seconda dell'organizzazione, i team potrebbero dover utilizzare cluster specifici o eseguire carichi di lavoro su ogni cluster di un parco risorse, con il controllo dell'accesso appropriato configurato per ogni team. Le funzionalità di gestione dei team del parco risorse semplificano per gli amministratori il provisioning e la gestione di risorse di infrastruttura come questa per i team, con ogni team che agisce come "tenant" separato nel parco risorse. I team possono eseguire e gestire i carichi di lavoro, nonché visualizzare i log, l'utilizzo delle risorse, i tassi di errore e altre metriche, il tutto limitato all'ambito del proprio insieme di cluster e spazi dei nomi.
Questa pagina è rivolta agli amministratori di piattaforma e ai membri dei team delle applicazioni che vogliono saperne di più sulle funzionalità di gestione dei team del parco risorse. Le funzionalità di gestione dei team del parco risorse sono disponibili solo per gli utenti che hanno abilitato l'intera piattaforma GKE Enterprise.
Panoramica della gestione del team del parco risorse
La gestione dei team del parco risorse si basa su due concetti chiave che danno agli amministratori un ruolo "a livello di team" da utilizzare nella gestione dei parchi risorse:
- Gli ambiti dei team consentono di definire sottoinsiemi di risorse del parco risorse in base al team, con ogni ambito associato a uno o più cluster membro del parco risorse. Gli ambiti di gruppo possono includere cluster su Google Cloud o esterni a Google Cloud, ma tutti i cluster devono essere membri dello stesso parco risorse. Un cluster può essere associato a più di un ambito del team, consentendo a team diversi di eseguire carichi di lavoro sullo stesso cluster.
- Gli spazi dei nomi del parco risorse consentono di controllare chi ha accesso a spazi dei nomi specifici all'interno del parco risorse. Per impostazione predefinita, tutti gli spazi dei nomi con lo stesso nome definito nei cluster nel parco risorse vengono trattati come se fossero lo stesso spazio dei nomi. Tuttavia, la gestione dei team del parco risorse offre un modo per aggiungere un controllo più granulare sugli spazi dei nomi. Puoi creare spazi dei nomi del parco risorse all'interno di ambiti di team specifici e poi concedere ai membri del team l'accesso solo ai cluster all'interno del loro ambito del team. Gli spazi dei nomi del parco risorse possono essere utilizzati come qualsiasi altro spazio dei nomi Kubernetes nei cluster membri nell'ambito del team. Gli amministratori della piattaforma possono creare autonomamente gli spazi dei nomi del parco o, con alcune autorizzazioni aggiuntive, delegare la creazione degli spazi dei nomi agli amministratori del team.
Esempio di gestione del team
Ad esempio, supponiamo che tu sia un amministratore di piattaforma dell'azienda Cymbal Group che sta configurando risorse per due team in un unico parco risorse.
- Il team di backend è costituito da un gruppo Google,
backend-team@cymbalgroup.com. Decidi che questo team può eseguire carichi di lavoro sul cluster 1 e sul cluster 2 utilizzando il proprio spazio dei nomibackend. Crea un ambito del team che includa i due cluster e definisci uno spazio dei nomi del parco risorsebackendall'interno di questo ambito. - Il team di frontend è composto da due gruppi Google,
frontend-admin@cymbalgroup.comefrontend-dev@cymbalgroup.com. Decidi che il team frontend può eseguire carichi di lavoro sui cluster 2 e 3 utilizzando gli spazi dei nomifrontend-fooefrontend-bar. Crea di nuovo un ambito del team con i due cluster e definisci due spazi dei nomi del parco risorse all'interno di questo ambito.
Come puoi vedere nel diagramma, una volta configurati i team, entrambi possono utilizzare il cluster 2, ognuno con i propri spazi dei nomi. Inoltre, il team di backend può utilizzare il proprio spazio dei nomi nel cluster 1 e il team di frontend può utilizzare i propri spazi dei nomi nel cluster 3. Entrambi i team possono eseguire i propri carichi di lavoro sui cluster e visualizzare le proprie risorse senza dover prendere in considerazione l'altro team.
In ogni caso, specifica che i responsabili del team (il singolo utente Dana nel caso del team di backend, i membri del gruppo frontend-admin nel caso del team di frontend) dispongono dell'accesso admin all'ambito del team, il che significa che possono creare ruoli e associazioni di ruoli all'interno dell'ambito, mentre i restanti membri del team dispongono dell'accesso editor.
Sebbene sia possibile impostare manualmente tutta questa configurazione con kubectl o altri strumenti, l'utilizzo delle funzionalità di gestione dei team semplifica l'onboarding dei team e consente agli amministratori e ai membri del team di utilizzare funzionalità aggiuntive basate sugli ambiti dei team, come le metriche basate sui team.
Nella vita reale, probabilmente avrai anche parchi risorse separati per gli ambienti di produzione, sviluppo e test. Creeresti ambiti per i team di frontend e backend all'interno di ciascuno di questi parchi risorse, mettendo a loro disposizione i propri cluster di produzione, sviluppo e test. Per scoprire di più, consulta le nostre best practice ed esempi per i parchi risorse.
Funzionalità abilitate per i team
Dopo aver configurato gli ambiti dei team, gli operatori delle applicazioni e gli amministratori possono visualizzare le informazioni a livello di team, come l'utilizzo delle risorse, i log, gli errori per spazio dei nomi e altre metriche in tutto l'ambito, semplificando la valutazione dell'utilizzo delle risorse totali, la risoluzione dei problemi e altro ancora. Per scoprire di più, consulta Utilizzare la panoramica del team. Gli ambiti di gruppo possono essere utilizzati anche per eseguire l'implementazione sequenziale degli upgrade.
Accesso agli ambiti dei team
Consigliamo ai membri del team di accedere ai cluster di ambito del team con kubectl utilizzando le credenziali speciali del cluster per Connect Gateway. Connect Gateway è un servizio coerente e sicuro che consente agli utenti di accedere con i propri ID Google a qualsiasi cluster del parco risorse, incluso l'utilizzo di Google Gruppi per l'autorizzazione. Sebbene non sia strettamente necessario per l'autenticazione ai cluster GKE su Google Cloud, l'utilizzo delle credenziali del gateway offre un modo semplice e coerente per autenticarsi ai cluster dei membri del parco, anche tra progetti. La gestione dei team del parco risorse al momento non supporta provider di identità di terze parti.
Risorse esistenti
La gestione dei team del parco risorse può essere utilizzata anche per l'onboarding gli spazi dei nomi e i cluster esistenti utilizzati dai team della tua organizzazione, consentendo ad amministratori e team di iniziare a utilizzare le funzionalità basate sui team con i carichi di lavoro esistenti. Se crei uno spazio dei nomi del parco risorse e esiste già uno spazio dei nomi Kubernetes con quel nome in uno dei cluster associati al relativo ambito del team, questo spazio dei nomi verrà considerato un'istanza dello spazio dei nomi del parco risorse e quindi farà parte dell'ambito del team.
Passaggi successivi
- Se sei un amministratore della piattaforma, segui le istruzioni riportate in Configurare i team per configurare, configurare e gestire gli ambiti e gli spazi dei nomi dei team.
- Scopri come visualizzare le metriche a livello di team e altre informazioni specifiche del team in Utilizzare la panoramica del team (solo anteprima limitata).