Un compito comune per gli amministratori di piattaforme è assicurarsi che i team di applicazioni e servizi dispongano delle risorse infrastrutturali necessarie per eseguire i loro carichi di lavoro. A seconda dell'organizzazione, i team potrebbero dover utilizzare cluster specifici o eseguire carichi di lavoro su tutti i cluster di un parco risorse, con controllo dell'accesso appropriato configurato per ogni team. Le funzionalità di gestione dei team del parco risorse semplificano il provisioning e la gestione delle risorse dell'infrastruttura come questa per i team, con ogni team che funge da "tenant" separato nel parco risorse. I team possono eseguire e gestire i propri carichi di lavoro, nonché visualizzare log, utilizzo delle risorse, tassi di errore e altre metriche, il tutto limitato al proprio insieme di cluster e spazi dei nomi.
Questa pagina è rivolta agli amministratori della piattaforma e ai membri del team dell'applicazione che vogliono saperne di più sulle funzionalità di gestione dei team del parco risorse.
Panoramica della gestione del team del parco risorse
La gestione dei team del parco risorse si basa su due concetti chiave che forniscono agli amministratori un'astrazione "a livello di team" da utilizzare per la gestione dei parchi risorse:
- Gli ambiti dei team consentono di definire sottoinsiemi di risorse del parco risorse in base al team, con ogni ambito associato a uno o più cluster membro del parco risorse. Gli ambiti del team possono includere cluster su Google Cloud o esterni a Google CloudGoogle Cloud, ma tutti i cluster devono essere membri dello stesso parco risorse. Un cluster può essere associato a più di un ambito del team, consentendo a team diversi di eseguire carichi di lavoro sullo stesso cluster.
- Gli spazi dei nomi del parco risorse consentono di controllare chi ha accesso a spazi dei nomi specifici all'interno del parco risorse. Per impostazione predefinita, tutti gli spazi dei nomi con lo stesso nome definiti sui cluster nel parco risorse vengono trattati come se fossero lo stesso spazio dei nomi. Tuttavia, la gestione dei team del parco risorse offre un modo per aggiungere un controllo più granulare sugli spazi dei nomi. Puoi creare spazi dei nomi del parco risorse all'interno di ambiti del team specifici e poi concedere ai membri del team l'accesso solo ai cluster all'interno del loro ambito del team. Gli spazi dei nomi del parco possono essere utilizzati come qualsiasi altro spazio dei nomi Kubernetes nei cluster membri nell'ambito del team. Gli amministratori della piattaforma possono creare autonomamente spazi dei nomi del parco auto oppure, con alcune autorizzazioni aggiuntive, delegare la creazione degli spazi dei nomi agli amministratori del team.
Esempio di gestione del team
Ad esempio, supponiamo che tu sia un amministratore della piattaforma per la società Cymbal Group che configura le risorse per due team su un'unica flotta.
- Il team di backend è composto da un gruppo Google,
backend-team@cymbalgroup.com. Decidi che questo team può eseguire carichi di lavoro sul cluster 1 e sul cluster 2 utilizzando il proprio spazio dei nomibackend. Crea un ambito del team che includa i due cluster e definisci uno spazio dei nomi del parco risorsebackendall'interno di questo ambito. - Il team frontend è composto da due gruppi Google,
frontend-admin@cymbalgroup.comefrontend-dev@cymbalgroup.com. Decidi che il team frontend può eseguire carichi di lavoro sul cluster 2 e sul cluster 3, utilizzando gli spazi dei nomifrontend-fooefrontend-bar. Anche in questo caso, crea un ambito del team con i due cluster e definisci due spazi dei nomi del parco risorse all'interno di questo ambito.
Come puoi vedere nel diagramma, una volta configurati i team, entrambi possono utilizzare il cluster 2, con ogni team che utilizza i propri spazi dei nomi. Inoltre, il team di backend può utilizzare il proprio spazio dei nomi sul cluster 1, mentre il team di frontend può utilizzare i propri spazi dei nomi sul cluster 3. Entrambi i team possono eseguire i propri workload sui cluster e visualizzare le proprie risorse senza dover prendere in considerazione l'altro team.
In ogni caso, specifichi che i team leader (l'utente singolo Dana nel caso del team di backend, i membri del gruppo frontend-admin nel caso del team di frontend) hanno accesso admin all'ambito del team, il che significa che possono creare ruoli e associazioni di ruoli all'interno dell'ambito, mentre i restanti membri del team hanno accesso editor.
Anche se potresti configurare tutto manualmente con kubectl o altri strumenti, l'utilizzo delle funzionalità di gestione dei team semplifica l'onboarding rapido dei team e consente agli amministratori e ai membri del team di utilizzare funzionalità aggiuntive in base agli ambiti del team, ad esempio le metriche con ambito del team.
In una situazione reale, probabilmente avresti anche parchi risorse separati per gli ambienti di produzione, sviluppo e test. Creeresti ambiti del team per i team frontend e backend all'interno di ciascuno di questi parchi risorse, fornendo ai team i propri cluster di produzione, sviluppo e test. Per saperne di più, consulta le nostre best practice e gli esempi relativi ai parchi risorse.
Funzionalità abilitate per il team
Una volta configurati gli ambiti del team, gli operatori e gli amministratori delle applicazioni possono visualizzare informazioni con ambito del team, come l'utilizzo delle risorse, i log, gli errori per spazio dei nomi e altre metriche del loro ambito, il che consente loro di valutare più facilmente l'utilizzo delle risorse totali, risolvere i problemi e altro ancora. Per scoprire di più, consulta Utilizzare la panoramica del team. Gli ambiti del team possono essere utilizzati anche per l'implementazione degli upgrade in sequenza.
Accedere agli ambiti dei team
Consigliamo ai membri del team di accedere ai cluster dell'ambito del team con kubectl utilizzando le credenziali speciali del cluster per Connect Gateway. Connect Gateway è un servizio coerente e sicuro che consente agli utenti di accedere con i propri ID Google a qualsiasi cluster del parco risorse, incluso l'utilizzo di Google Gruppi per l'autorizzazione. Sebbene non sia strettamente necessario per l'autenticazione ai cluster GKE su Google Cloud, l'utilizzo delle credenziali del gateway fornisce un modo semplice e coerente per autenticarsi ai cluster membri del parco risorse, anche tra progetti diversi. Al momento la gestione del team del parco auto non supporta i provider di identità di terze parti.
Risorse esistenti
La gestione dei team del parco risorse può essere utilizzata anche per "onboarding" di spazi dei nomi e cluster esistenti utilizzati dai team della tua organizzazione, consentendo ad amministratori e team di iniziare a utilizzare le funzionalità basate sui team con i workload esistenti. Se crei uno spazio dei nomi del parco risorse ed esiste uno spazio dei nomi Kubernetes con quel nome in uno dei cluster associati al suo ambito del team, questo spazio dei nomi verrà considerato un'istanza dello spazio dei nomi del parco risorse e quindi parte dell'ambito del team.
Passaggi successivi
- Se sei un amministratore della piattaforma, segui le istruzioni riportate in Configurare i team per configurare e gestire gli ambiti e gli spazi dei nomi dei team.
- Scopri come visualizzare le metriche a livello di team e altre informazioni specifiche del team in Utilizzare la panoramica del team (solo anteprima limitata).