应用通过 Connect 向关联集群发送请求时,请求必须通过三个安全检查点。
请求首先会进入 Google Cloud API - connectgate.googleapis.com API,此 API 用于验证调用者是否已获授权使用该 API。
如果已获授权,则请求将传递到 Connect Gateway 以获取 Google Cloud IAM 授权。
如果成功,则系统会将请求传递到 Connect Gateway 再到集群的 kube-api 服务器以获取 RBAC 授权。
如果所有这些检查都成功,则集群的 kube-api 服务器将处理该请求。
如需了解如何通过 Connect Gateway 向集群用户授予 IAM 角色,请参阅向用户授予 IAM 角色。