Descripción general del agente de Connect

Cuando registras un clúster fuera Google Cloud de tu flota, Google Cloud usa una Implementación llamada Agente de Connect para establecer una conexión entre el clúster y tu Google Cloud proyecto, y controlar las solicitudes de Kubernetes. No es necesario el agente de Connect para establecer una conexión a los clústeres de GKE que se ejecutan en Google Cloud.

Esto permite el acceso al clúster y a las funciones de administración de cargas de trabajo en Google Cloud, incluida una interfaz de usuario unificada, Google Cloud la consola, para interactuar con el clúster.

Si tu red está configurada para permitir solicitudes salientes, puedes configurar el agente de Connect a fin de desviar NAT, proxies de salida y firewalls para establecer una conexión encriptada de larga duración entre el servidor de la API de Kubernetes del clúster y el Google Cloud proyecto. Una vez que se habilite esta conexión, podrás usar tus propias credenciales para volver a acceder a tus clústeres y a sus detalles sobre sus recursos de Kubernetes. Esto replica de forma efectiva la experiencia de IU que, de lo contrario, solo está disponible para clústeres de GKE.

Una vez establecida la conexión, el software del agente de Connect puede intercambiar credenciales de cuentas, detalles técnicos y metadatos sobre infraestructura conectada y cargas de trabajo necesarias para administrarlas con Google Cloud, incluidos los detalles de recursos, aplicaciones, y hardware.

Estos datos del servicio de clúster se asocian a tu Google Cloud proyecto y cuenta. Google usa estos datos para mantener un plano de control entre tu clúster y Google Cloud, para proporcionarte cualquier Google Cloud servicio y las funciones que solicitas, lo que incluye facilitar la asistencia, la facturación, las actualizaciones y la medición, y mejorar la confiabilidad, la calidad, la capacidad y la funcionalidad de los servicios de Connect y Google Cloud disponibles a través de Connect.

Tú controlas los datos que se envían a través de Connect: tu servidor de la API de Kubernetes realiza la autenticación, autorización y el registro de auditoría en todas las solicitudes mediante Connect. Google y los usuarios pueden acceder a los datos o las API mediante Connect después de que el administrador del clúster los haya autorizado (por ejemplo, a través de RBAC). El administrador del clúster puede revocar esa autorización.

Roles de IAM de Connect

Identity and Access Management (IAM) permite que los usuarios, los grupos y las cuentas de servicio accedan a las Google Cloud APIs y realicen tareas dentro de los Google Cloud productos.

Debes proporcionar roles de IAM específicos para iniciar el agente de Connect e interactuar con tu clúster mediante la consola o Google Cloud CLI. Google Cloud Estas funciones no permiten el acceso directo a clústeres conectados. Puedes obtener más información sobre cómo acceder a los clústeres desde la Google Cloud consola en Trabaja con clústeres desde la Google Cloud consola.

Algunas de estas funciones te permiten acceder a la información sobre los clústeres, incluidos los siguientes:

  • Nombres de clústeres
  • Claves públicas
  • Direcciones IP
  • Proveedores de identidades
  • Versiones de Kubernetes
  • Tamaño del clúster
  • Otros metadatos de clústeres

Connect usa las siguientes funciones de IAM:

Nombre de la función Título de la función Descripción Permisos
roles/gkehub.editor Editor de flotas de GKE Proporciona acceso de edición a los recursos de GKE Hub.

Permisos de Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permisos de flotas de GKE

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer Visualizador de flotas de GKE Proporciona acceso de solo lectura a las flotas de GKE y a los recursos relacionados.

Permisos de Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permisos de flotas de GKE

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect Agente de GKE Connect Proporciona la capacidad de establecer conexiones nuevas entre clústeres externos y Google. gkehub.endpoints.connect

Uso y requisitos de recursos

Por lo general, el agente Connect conectado en el registro utiliza 500 m de CPU y 200 Mi de memoria. Sin embargo, este uso puede variar según la cantidad de solicitudes que se realicen al agente por segundo y el tamaño de esas solicitudes. Estos elementos pueden verse afectados por varios factores, como el tamaño del clúster, la cantidad de usuarios que acceden al clúster a través de la Google Cloud consola (mientras más usuarios o cargas de trabajo haya, más solicitudes existirán) y la cantidad de funciones habilitadas para la flota en el clúster.