Panoramica dell'agente Connect

Quando registri un cluster al di fuori del tuo parco risorse, Google Cloud utilizza un deployment chiamato agente Connect per stabilire una connessione tra il cluster e il tuo Google Cloud progetto e per gestire le richieste Kubernetes. Google Cloud L'agente Connect non è necessario per stabilire una connessione per i cluster GKE in esecuzione in Google Cloud.

In questo modo puoi accedere al cluster e alle funzionalità di gestione dei carichi di lavoro in Google Cloud, inclusa un'interfaccia utente unificata, Google Cloud console, per interagire con il cluster.

Se la tua rete è configurata per consentire le richieste in uscita, puoi configurare l' agente Connect per attraversare i NAT, i proxy in uscita e i firewall per stabilire una connessione criptata di lunga durata tra il server API Kubernetes del cluster e il tuo Google Cloud progetto. Una volta abilitata questa connessione, puoi utilizzare le tue credenziali per accedere di nuovo ai cluster e visualizzare i dettagli delle relative risorse Kubernetes. In questo modo, l'esperienza dell'interfaccia utente, altrimenti disponibile solo per i cluster GKE, viene replicata in modo efficace.

Una volta stabilita la connessione, il software dell'agente Connect può scambiare credenziali dell'account, dettagli tecnici e metadati sull'infrastruttura e sui carichi di lavoro connessi necessari per gestirli con Google Cloud, inclusi i dettagli di risorse, applicazioni e hardware.

Questi dati del servizio cluster sono associati al tuo Google Cloud progetto e al tuo account. Google utilizza questi dati per gestire un control plane tra il tuo cluster e Google Cloud, per fornirti i Google Cloudservizi e le funzionalità che richiedi, inclusi facilitare l'assistenza, la fatturazione, fornire aggiornamenti e misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità di Connect e dei Google Cloud servizi disponibili tramite Connect.

Hai il controllo dei dati inviati tramite Connect: il tuo server API Kubernetes esegue l'autenticazione, l'autorizzazione e la registrazione degli audit su tutte le richieste tramite Connect. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo essere stati autorizzati dall'amministratore del cluster (ad esempio tramite RBAC); l'amministratore del cluster può revocare l'autorizzazione.

Ruoli IAM di Connect

Identity and Access Management (IAM) consente a utenti, gruppi e service account di accedere alle Google Cloud API e di eseguire attività all'interno dei Google Cloud prodotti.

Devi fornire ruoli IAM specifici per avviare l'agente Connect e interagire con il cluster utilizzando la Google Cloud console o Google Cloud CLI. Questi ruoli non consentono l'accesso diretto ai cluster connessi. Puoi scoprire di più sull' accesso ai cluster dalla Google Cloud console in Utilizzo dei cluster dalla Google Cloud console.

Alcuni di questi ruoli ti consentono di accedere alle informazioni sui cluster, tra cui:

  • Nomi dei cluster
  • Chiavi pubbliche
  • Indirizzi IP
  • Provider di identità
  • Versioni di Kubernetes
  • Dimensione cluster
  • Altri metadati del cluster

Connect utilizza i seguenti ruoli IAM:

Nome ruolo Titolo del ruolo Descrizione Autorizzazioni
roles/gkehub.editor Editor del parco risorse GKE Fornisce l'accesso in modifica alle risorse GKE Hub.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per il parco risorse GKE

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer Visualizzatore del parco risorse GKE Fornisce l'accesso di sola lettura al parco risorse GKE e alle risorse correlate.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per il parco risorse GKE

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect Agente GKE Connect Consente di stabilire nuove connessioni tra cluster esterni e Google. gkehub.endpoints.connect

Utilizzo e requisiti delle risorse

In genere, l'agente Connect installato durante la registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare a seconda del numero di richieste effettuate all'agente al secondo e delle dimensioni di queste richieste. Questi valori possono essere influenzati da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la Google Cloud console (più utenti e/o carichi di lavoro, più richieste) e il numero di funzionalità abilitate per il parco risorse nel cluster.