סקירה כללית של Connect Agent

כשרושמים אשכול מחוץ ל- Google Cloud לצי Google Cloud ,המערכת משתמשת בפריסה שנקראת Connect Agent כדי ליצור חיבור בין האשכול לבין פרויקט Google Cloud, וכדי לטפל בבקשות של Kubernetes. לא נדרש סוכן Connect כדי ליצור חיבור לאשכולות GKE שפועלים ב- Google Cloud.

כך מקבלים גישה לאשכול ולתכונות של ניהול עומסי עבודה ב- Google Cloud, כולל ממשק משתמש מאוחד, Google Cloud מסוף, כדי ליצור אינטראקציה עם האשכול.

אם הרשת שלכם מוגדרת כך שהיא מאפשרת בקשות יוצאות, אתם יכולים להגדיר את Connect Agent כך שהוא יעבור דרך NAT, שרתי proxy ליציאה וחומות אש כדי ליצור חיבור מוצפן לטווח ארוך בין שרת ה-API של Kubernetes באשכול לבין פרויקט Google Cloud . אחרי שמפעילים את החיבור הזה, אפשר להשתמש בפרטי הכניסה שלכם כדי להתחבר מחדש לאשכולות ולגשת לפרטים על משאבי Kubernetes שלהם. הפעולה הזו משכפלת למעשה את חוויית המשתמש שזמינה רק באשכולות GKE.

אחרי שהחיבור נוצר, תוכנת Connect Agent יכולה להחליף פרטי כניסה לחשבון, פרטים טכניים ומטא-נתונים לגבי התשתית ועומסי העבודה המחוברים שנדרשים לניהול שלהם באמצעות Google Cloud, כולל פרטים על משאבים, אפליקציות וחומרה.

נתוני השירות של האשכול הזה משויכים לפרויקט Google Cloud ולחשבון שלכם. ‫Google משתמשת בנתונים האלה כדי לתחזק את מישור הבקרה בין האשכול שלכם לבין Google Cloud, כדי לספק לכם שירותים ותכונות שביקשתם, כולל מתן תמיכה, חיוב ועדכונים, וכדי למדוד ולשפר את המהימנות, האיכות, הקיבולת והפונקציונליות של Connect ושל שירותים שזמינים דרך Connect. Google Cloud Google Cloud

אתם ממשיכים לשלוט בנתונים שנשלחים דרך Connect: שרת Kubernetes API מבצע אימות, הרשאה ורישום ביומן ביקורת לכל הבקשות דרך Connect. אחרי שהאדמין של האשכול מאשר את הגישה (למשל, דרך RBAC), גם Google וגם המשתמשים יכולים לגשת לנתונים או לממשקי API דרך Connect. האדמין של האשכול יכול לבטל את האישור הזה.

חיבור תפקידי IAM

ניהול זהויות והרשאות גישה (IAM) מאפשר למשתמשים, לקבוצות ולחשבונות שירות לגשת לממשקי API של מוצריGoogle Cloud ולבצע משימות במוצרים האלה. Google Cloud

כדי להפעיל את סוכן Connect ולקיים אינטראקציה עם האשכול באמצעות מסוף Google Cloud או Google Cloud CLI, צריך לספק תפקידים ספציפיים ב-IAM. התפקידים האלה לא מאפשרים גישה ישירה לאשכולות מקושרים. מידע נוסף על התחברות לאשכולות מהמסוף זמין במאמר עבודה עם אשכולות מהמסוף. Google Cloud Google Cloud

חלק מהתפקידים האלה מאפשרים לכם לגשת למידע על אשכולות, כולל:

שמות של אשכולות
מפתחות ציבוריים
כתובות IP
ספקי זהויות
גרסאות Kubernetes
גודל האשכול
מטא-נתונים אחרים של אשכול

‫Connect משתמש בתפקידי ה-IAM הבאים:

שם התפקיד שם התפקיד תיאור הרשאות

שם התפקיד	שם התפקיד	תיאור	הרשאות
`roles/gkehub.editor`	עורך מרכזים	מעניק גישת עריכה למשאבים ב-GKE Hub.	הרשאות עבור Google Cloud resourcemanager.projects.get resourcemanager.projects.list הרשאות ל-Hub gkehub.memberships.list gkehub.memberships.get gkehub.memberships.create gkehub.memberships.update gkehub.memberships.delete gkehub.memberships.generateConnectManifest gkehub.memberships.getIamPolicy gkehub.locations.list gkehub.locations.get gkehub.operations.list gkehub.operations.get gkehub.operations.cancel gkehub.features.list gkehub.features.get gkehub.features.create gkehub.features.update gkehub.features.delete gkehub.features.getIamPolicy gkehub.fleet.* gkehub.membershipfeatures.list gkehub.membershipfeatures.get gkehub.membershipfeatures.create gkehub.membershipfeatures.update gkehub.membershipfeatures.delete
`roles/gkehub.viewer`	Hub Viewer	הענקת הרשאת קריאה בלבד למרכז ולמשאבים קשורים.	הרשאות עבור Google Cloud resourcemanager.projects.get resourcemanager.projects.list הרשאות ל-Hub gkehub.memberships.list gkehub.memberships.get gkehub.memberships.generateConnectManifest gkehub.memberships.getIamPolicy gkehub.locations.list gkehub.locations.get gkehub.operations.list gkehub.operations.get gkehub.features.list gkehub.features.get gkehub.features.getIamPolicy gkehub.membershipfeatures.list gkehub.membershipfeatures.get
`roles/gkehub.connect`	GKE Connect Agent	מאפשר ליצור חיבורים חדשים בין אשכולות חיצוניים לבין Google.	gkehub.endpoints.connect

roles/gkehub.editor

עורך מרכזים

מעניק גישת עריכה למשאבים ב-GKE Hub.

הרשאות עבור Google Cloud

resourcemanager.projects.get
resourcemanager.projects.list

הרשאות ל-Hub

gkehub.memberships.list
gkehub.memberships.get
gkehub.memberships.create
gkehub.memberships.update
gkehub.memberships.delete
gkehub.memberships.generateConnectManifest
gkehub.memberships.getIamPolicy
gkehub.locations.list
gkehub.locations.get
gkehub.operations.list
gkehub.operations.get
gkehub.operations.cancel
gkehub.features.list
gkehub.features.get
gkehub.features.create
gkehub.features.update
gkehub.features.delete
gkehub.features.getIamPolicy
gkehub.fleet.*
gkehub.membershipfeatures.list
gkehub.membershipfeatures.get
gkehub.membershipfeatures.create
gkehub.membershipfeatures.update
gkehub.membershipfeatures.delete

roles/gkehub.viewer

Hub Viewer

הענקת הרשאת קריאה בלבד למרכז ולמשאבים קשורים.

הרשאות עבור Google Cloud

resourcemanager.projects.get
resourcemanager.projects.list

הרשאות ל-Hub

gkehub.memberships.list
gkehub.memberships.get
gkehub.memberships.generateConnectManifest
gkehub.memberships.getIamPolicy
gkehub.locations.list
gkehub.locations.get
gkehub.operations.list
gkehub.operations.get
gkehub.features.list
gkehub.features.get
gkehub.features.getIamPolicy
gkehub.membershipfeatures.list
gkehub.membershipfeatures.get

roles/gkehub.connect GKE Connect Agent מאפשר ליצור חיבורים חדשים בין אשכולות חיצוניים לבין Google. gkehub.endpoints.connect

שימוש במשאבים ודרישות

בדרך כלל, סוכן Connect שמותקן במהלך ההרשמה משתמש ב-500m של CPU וב-200Mi של זיכרון. עם זאת, השימוש הזה יכול להשתנות בהתאם למספר הבקשות שנשלחות לסוכן בכל שנייה ולגודל הבקשות האלה. הביצועים האלה יכולים להיות מושפעים ממספר גורמים, כולל גודל האשכול, מספר המשתמשים שניגשים לאשכול דרך מסוף Google Cloud (ככל שיש יותר משתמשים או עומסי עבודה, כך יש יותר בקשות) ומספר התכונות שמופעלות בצי באשכול.

סקירה כללית של Connect Agent קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

חיבור תפקידי IAM

שימוש במשאבים ודרישות

סקירה כללית של Connect Agent