- 资源:AttachedCluster
- AttachedOidcConfig
- 状态
- AttachedClusterError
- AttachedClustersAuthorization
- AttachedClusterUser
- AttachedClusterGroup
- AttachedProxyConfig
- KubernetesSecret
- SecurityPostureConfig
- VulnerabilityMode
- SystemComponentsConfig
- Toleration
- KeyOperator
- 效果
- Label
- 方法
资源:AttachedCluster
在客户自己的基础架构上运行的 Anthos 集群。
| JSON 表示法 |
|---|
{ "name": string, "description": string, "oidcConfig": { object ( |
| 字段 | |
|---|---|
name |
此资源的名称。 集群名称的格式为 如需详细了解 Google Cloud Platform 资源名称,请参阅资源名称。 |
description |
可选。此集群的人类可读说明。长度不能超过 255 个 UTF-8 编码字节。 |
oidcConfig |
必需。集群的 OpenID Connect (OIDC) 配置。 |
platformVersion |
必需。集群的平台版本(例如 您可以通过调用 |
distribution |
必需。底层关联集群的 Kubernetes 分布。 支持的值:[“eks”“aks”“generic”]。 |
clusterRegion |
仅限输出。此集群运行所在的区域。 对于 EKS 集群,这是 AWS 区域。对于 AKS 集群,这是 Azure 区域。 |
fleet |
必需。舰队配置。 |
state |
仅限输出。集群的当前状态。 |
uid |
仅限输出。集群的全局唯一标识符。 |
reconciling |
仅限输出。如果设置了此字段,则当前正在对集群进行更改。 |
createTime |
仅限输出。注册此集群的时间。 采用 RFC 3339 标准,生成的输出将始终在末尾带 Z,并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例: |
updateTime |
仅限输出。上次更新此集群的时间。 采用 RFC 3339 标准,生成的输出将始终在末尾带 Z,并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例: |
etag |
允许客户端通过乐观并发控制执行一致的“读取-修改-写入”操作。 可在更新和删除请求中发送,以确保客户端在继续操作之前具有最新值。 |
kubernetesVersion |
仅限输出。集群的 Kubernetes 版本。 |
annotations |
可选。集群上的注解。 此字段的限制与 Kubernetes 注解相同。所有键和值的总大小不得超过 256k。键可以包含 2 个部分:前缀(可选)和名称(必需),以斜杠 (/) 分隔。前缀必须是 DNS 子网域。名称不得超过 63 个字符,以字母数字字符开头和结尾,中间可以使用短划线 (-)、下划线 (_)、点 (.) 和字母数字字符。 包含一系列 |
workloadIdentityConfig |
仅限输出。Workload Identity 设置。 |
loggingConfig |
可选。此集群的 Logging 配置。 |
errors[] |
仅限输出。在集群中发现的一组错误。 |
authorization |
可选。与集群 RBAC 设置相关的配置。 |
monitoringConfig |
可选。此集群的 Monitoring 配置。 |
proxyConfig |
可选。出站 HTTP(S) 流量的代理配置。 |
binaryAuthorization |
可选。此集群的 Binary Authorization 配置。 |
securityPostureConfig |
可选。此集群的安全状况配置。 |
tags |
可选。仅限输入。直接绑定到此资源的标记键和值。 标记键必须采用 如需详细了解 Google Cloud Platform 标记,请参阅标记。 包含一系列 |
systemComponentsConfig |
可选。集群上自动安装的组件的 Kubernetes 配置。 |
AttachedOidcConfig
目标集群的 OIDC 发现信息。
Kubernetes 服务账号 (KSA) 令牌是由集群 API 服务器签名的 JWT 令牌。此字段指示 Google Cloud Platform 服务如何验证 KSA 令牌,以便允许系统工作负载(例如 GKE Connect 和遥测代理)向 Google Cloud Platform 进行身份验证。
具有公共和私有颁发者网址的集群均受支持。具有公开颁发者的集群只需要指定 issuerUrl 字段,而具有专用颁发者的集群需要同时提供 issuerUrl 和 oidc_jwks。
| JSON 表示法 |
|---|
{ "issuerUrl": string, "jwks": string } |
| 字段 | |
|---|---|
issuerUrl |
JSON Web 令牌 (JWT) 的颁发者 URI。 |
jwks |
可选。JWKS 格式的 OIDC 验证密钥 (RFC 7517)。 它包含可用于验证 OIDC JWT 的 OIDC 验证密钥列表。 对于没有公开可用发现端点的集群,此字段是必需的。提供后,它将直接用于验证 IDP 声明的 OIDC JWT。 使用 base64 编码的字符串。 |
State
集群的生命周期状态。
| 枚举 | |
|---|---|
STATE_UNSPECIFIED |
未设置。 |
PROVISIONING |
PROVISIONING 状态表示集群正在进行注册。 |
RUNNING |
RUNNING 状态表示集群已注册并且完全可用。 |
RECONCILING |
RECONCILING 状态表示集群上正在进行某些工作,例如升级软件组件。 |
STOPPING |
STOPPING 状态表示集群正在取消注册。 |
ERROR |
ERROR 状态表示集群处于不可恢复的损坏状态。 |
DEGRADED |
DEGRADED 状态表示集群需要用户执行操作才能恢复全部功能。 |
AttachedClusterError
AttachedClusterError 描述在关联集群上发现的错误。
| JSON 表示法 |
|---|
{ "message": string } |
| 字段 | |
|---|---|
message |
直观易懂的错误说明。 |
AttachedClustersAuthorization
与集群 RBAC 设置相关的配置。
| JSON 表示法 |
|---|
{ "adminUsers": [ { object ( |
| 字段 | |
|---|---|
adminUsers[] |
可选。能够以集群管理员身份执行操作的用户。将创建托管式 ClusterRoleBinding 以向用户授予 如需详细了解 RBAC,请参阅 https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles |
adminGroups[] |
可选。能够以集群管理员身份执行操作的用户群组。将创建托管式 ClusterRoleBinding 以向群组授予 如需详细了解 RBAC,请参阅 https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles |
AttachedClusterUser
关联集群的用户类型主体的身份。
| JSON 表示法 |
|---|
{ "username": string } |
| 字段 | |
|---|---|
username |
必需。用户的名称,例如 |
AttachedClusterGroup
关联集群的群组类型主体的身份。
| JSON 表示法 |
|---|
{ "group": string } |
| 字段 | |
|---|---|
group |
必需。群组的名称,例如 |
AttachedProxyConfig
代理配置的详细信息。
| JSON 表示法 |
|---|
{
"kubernetesSecret": {
object ( |
| 字段 | |
|---|---|
kubernetesSecret |
包含 HTTP(S) 代理配置的 Kubernetes Secret 资源。Secret 必须是 JSON 编码的代理配置(对于 EKS 集群,如 https://cloud.google.com/kubernetes-engine/multi-cloud/docs/attached/eks/how-to/use-a-proxy#configure-proxy-support 中所述;对于 AKS 集群,如 https://cloud.google.com/kubernetes-engine/multi-cloud/docs/attached/aks/how-to/use-a-proxy#configure-proxy-support 中所述)。 |
KubernetesSecret
有关 Kubernetes Secret 的信息
| JSON 表示法 |
|---|
{ "name": string, "namespace": string } |
| 字段 | |
|---|---|
name |
kubernetes Secret 的名称。 |
namespace |
存储 kubernetes Secret 的命名空间。 |
SecurityPostureConfig
SecurityPostureConfig 定义启用/停用 Security Posture API 功能所需的标志。
| JSON 表示法 |
|---|
{
"vulnerabilityMode": enum ( |
| 字段 | |
|---|---|
vulnerabilityMode |
设置漏洞扫描要使用的模式。 |
VulnerabilityMode
VulnerabilityMode 定义漏洞扫描的启用模式。
| 枚举 | |
|---|---|
VULNERABILITY_MODE_UNSPECIFIED |
未指定默认值。 |
VULNERABILITY_DISABLED |
在集群上停用漏洞扫描。 |
VULNERABILITY_ENTERPRISE |
在集群上应用企业级 Security Posture 漏洞扫描功能。 |
SystemComponentsConfig
SystemComponentsConfig 定义用于为自动安装的组件自定义配置的字段。
| JSON 表示法 |
|---|
{ "tolerations": [ { object ( |
| 字段 | |
|---|---|
tolerations[] |
为自动安装的组件所创建的 Pod 设置自定义容忍。 |
labels[] |
为自动安装的组件所创建的 Pod 设置自定义标签。 |
容忍
Toleration 为自动安装的组件所创建的 Pod 定义容忍字段。
| JSON 表示法 |
|---|
{ "key": string, "value": string, "keyOperator": enum ( |
| 字段 | |
|---|---|
key |
Key 是容忍所应用于的污点键。 |
value |
Value 是容忍所应用于的污点值。 |
keyOperator |
KeyOperator 表示键与值之间的关系,例如“Exist”。 |
effect |
Effect 指示要匹配的污点效果,例如“NoSchedule” |
KeyOperator
KeyOperator 表示键与值之间的关系,例如“Equal”。
| 枚举 | |
|---|---|
KEY_OPERATOR_UNSPECIFIED |
未指定运算符。 |
KEY_OPERATOR_EQUAL |
运算符映射到“Equal”。 |
KEY_OPERATOR_EXISTS |
运算符映射到“Exists”。 |
效果
Effect 指示要匹配的污点效果,例如“NoSchedule”。
| 枚举 | |
|---|---|
EFFECT_UNSPECIFIED |
未指定效果。 |
EFFECT_NO_SCHEDULE |
效果映射到“NoSchedule”。 |
EFFECT_PREFER_NO_SCHEDULE |
效果映射到“PreferNoSchedule”。 |
EFFECT_NO_EXECUTE |
效果映射到“NoExecute”。 |
标签
Label 为自动安装的组件所创建的 Pod 定义标签的其他字段。
| JSON 表示法 |
|---|
{ "key": string, "value": string } |
| 字段 | |
|---|---|
key |
这是标签的键。 |
value |
这是标签的值。 |
方法 |
|
|---|---|
|
在给定的 Google Cloud Platform 项目和区域中创建新的 AttachedCluster 资源。 |
|
删除特定的 AttachedCluster 资源。 |
|
为集群代理生成访问令牌。 |
|
描述特定的 AttachedCluster 资源。 |
|
通过导入现有舰队成员资格资源来创建新的 AttachedCluster 资源。 |
|
列出给定 Google Cloud 项目和区域中的所有 AttachedCluster 资源。 |
|
更新 AttachedCluster。 |