安全概览

应用通过 Connect 向关联集群发送请求时,请求必须通过三个安全检查点。

  1. 请求首先会进入 Google Cloud API - connectgate.googleapis.comconnectgateway.googleapis.com API,此 API 用于验证调用者是否已获授权使用该 API。

  2. 如果已获授权,则请求将传递到 Connect Gateway 以获取 Google Cloud IAM 授权。

  3. 如果成功,则系统会将请求传递到 Connect Gateway 再到集群的 kube-api 服务器以获取 RBAC 授权。

如果所有这些检查都成功,则集群的 kube-api 服务器将处理该请求。

如需了解如何通过 Connect Gateway 向集群用户授予 IAM 角色,请参阅向用户授予 IAM 角色