Buat cluster admin untuk software Google Distributed Cloud khusus untuk VMware menggunakan
gkectl. Gunakan gkectl jika Anda perlu mengelola seluruh siklus proses cluster admin secara lokal dalam lingkungan on-premise untuk memenuhi persyaratan keamanan, kepatuhan, atau air-gapped yang ketat. Anda juga dapat membuat cluster admin menggunakan
Terraform atau
konsolGoogle Cloud .
Sebelum memulai
Pastikan Anda telah menyiapkan dan dapat login ke workstation admin seperti yang dijelaskan dalam artikel Membuat workstation admin.
Pastikan file kunci JSON untuk akun layanan ada di workstation admin Anda.
Tinjau dokumen perencanaan alamat IP. Pastikan Anda memiliki cukup alamat IP yang tersedia untuk tiga node bidang kontrol dan VIP bidang kontrol. Jika Anda berencana membuat cluster pengguna kubeception, Anda harus memiliki cukup alamat IP yang tersedia untuk node bidang kontrol cluster pengguna tersebut.
Tinjau ringkasan load balancing dan tinjau kembali keputusan Anda tentang jenis load balancer yang ingin Anda gunakan. Untuk load balancer manual, Anda harus menyiapkan load balancer sebelum membuat cluster admin.
Jika Anda menggunakan
gkectluntuk membuat cluster admin, tentukan apakah Anda ingin menggunakan registry publik atau pribadi untuk komponen Google Distributed Cloud. Untuk mengetahui informasi tentang cara menggunakan registry Docker pribadi, lihatprivateRegistry. Baik Terraform maupun konsol Google Cloud tidak mendukung penggunaan registry Docker pribadi untuk komponen sistem.Tentukan jenis sistem operasi yang ingin Anda jalankan di node cluster admin.
Jika organisasi Anda mewajibkan traffic keluar melewati server proxy, pastikan untuk mengizinkan API yang diperlukan dan alamat Artifact Registry.
Di versi 1.29 dan yang lebih baru, pemeriksaan pra-penerbangan sisi server diaktifkan secara default. Pemeriksaan pra-penerbangan sisi server memerlukan aturan firewall tambahan. Di Firewall rules for admin clusters, telusuri "Preflight checks" dan pastikan semua aturan firewall yang diperlukan telah dikonfigurasi. Pemeriksaan pra-penerbangan sisi server dijalankan di cluster bootstrap, bukan secara lokal di workstation admin.
Ringkasan prosedur
Berikut adalah langkah-langkah utama yang terlibat dalam pembuatan cluster admin:
Isi file konfigurasi Anda. Tentukan detail untuk file konfigurasi kredensial admin baru Anda, dan mungkin file pemblokiran IP.
Impor image OS ke vSphere, dan kirim image container ke registry pribadi jika berlaku. Jalankan
gkectl prepare.Buat cluster admin. Gunakan
gkectluntuk membuat cluster admin baru seperti yang ditentukan dalam file konfigurasi yang telah Anda selesaikan. Saat membuat cluster admin, Google Distributed Cloud men-deploy cluster Kubernetes di Docker (kind) untuk menghosting sementara pengontrol Kubernetes yang diperlukan untuk membuat cluster admin. Cluster sementara ini disebut bootstrap cluster. Cluster pengguna dibuat dan diupgrade oleh admin pengelolanya tanpa menggunakan cluster bootstrap.Pastikan cluster admin Anda berjalan. Gunakan
kubectluntuk melihat node cluster Anda.
Di akhir prosedur ini, Anda akan memiliki cluster admin yang berjalan dan dapat digunakan untuk membuat dan mengelola cluster pengguna.
Jika Anda menggunakan Kontrol Layanan VPC, Anda mungkin melihat error saat menjalankan beberapa perintah gkectl, seperti "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services". Untuk menghindari error ini, tambahkan
parameter --skip-validation-gcp ke perintah Anda.
Isi file konfigurasi Anda
Pastikan workstation admin Anda memiliki
gkectlversi yang diperlukan. Biasanya, Anda menggunakan versigkectlyang sama dengan versi yang akan digunakan saat membuat cluster. Anda menentukan versi cluster di kolomgkeOnPremVersiondalam file konfigurasi cluster. Aturan versi berikut diterapkan selama pembuatan cluster:Versi minor
gkectltidak boleh lebih rendah dari versi minor untuk cluster. Misalnya, membuat cluster 1.30 menggunakan versi 1.29gkectltidak diizinkan. Versi patch tidak penting. Misalnya, Anda dapat menggunakangkectlversi 1.29.0-gke.1456 untuk membuat cluster dengan versi patch yang lebih tinggi, seperti 1.29.1000-gke.94.Versi minor
gkectltidak boleh lebih dari dua versi minor lebih tinggi dari versi cluster. Misalnya, jika Anda membuat cluster 1.28, versigkectldapat berupa 1.29 atau 1.30. Namun, Anda tidak dapat menggunakangkectlversi 1.31 karena versi tersebut tiga versi minor lebih tinggi daripada versi cluster.
Jika perlu, lihat Mendownload
gkectluntuk mendapatkangkectlversi yang didukung.
Jika Anda menggunakan gkeadm untuk membuat workstation admin, gkeadm akan menghasilkan file konfigurasi bernama admin-cluster.yaml.
Jika Anda tidak menggunakan gkeadm untuk membuat workstation admin, buat
admin-cluster.yaml dengan menjalankan perintah ini di workstation admin:
gkectl create-config admin
File konfigurasi ini digunakan untuk membuat cluster admin Anda.
Pahami file konfigurasi dengan membaca dokumen file konfigurasi cluster admin. Sebaiknya buka dokumen ini di tab atau jendela terpisah, karena Anda akan merujuknya saat menyelesaikan langkah-langkah berikut.
name
Jika Anda ingin menentukan nama untuk cluster admin, isi kolom
name.
bundlePath
Bundle adalah file terkompresi yang berisi komponen cluster. Fitur ini disertakan dengan workstation admin. Kolom ini sudah diisi untuk Anda.
vCenter
Kolom di bagian ini sudah diisi dengan nilai yang Anda masukkan saat Anda membuat workstation admin.
enableAdvancedCluster
Di versi 1.31, jika Anda ingin mengaktifkan fitur cluster lanjutan, tetapkan
enableAdvancedCluster
ke true.
Perhatikan perbedaan berikut antara versi:
Pada versi 1.31, fitur cluster lanjutan berada dalam pratinjau:
Anda dapat mengaktifkan cluster lanjutan pada saat pembuatan cluster untuk cluster 1.31 baru saja.
Setelah cluster lanjutan diaktifkan, Anda tidak akan dapat mengupgrade cluster ke 1.32. Aktifkan cluster lanjutan hanya di lingkungan pengujian.
Pada versi 1.32, fitur cluster lanjutan berstatus GA.
Secara default, cluster admin dibuat sebagai cluster lanjutan. Anda harus menetapkan
enableAdvancedClusterkefalsesecara eksplisit jika ingin membuat cluster non-lanjutan.Untuk cluster yang mengaktifkan fitur cluster lanjutan, upgrade cluster didukung.
Pada versi 1.33 dan yang lebih baru, semua cluster dibuat sebagai cluster lanjutan. Jika Anda menyetel
enableAdvancedClusterkefalse, pembuatan cluster akan gagal.
network
Isi bagian
network.controlPlaneIPBlock
dan bagian
network.hostConfig. Tetapkan juga
adminMaster.replicas
ke 3.
Kolom network.podCIDR dan network.serviceCIDR telah diisi sebelumnya dengan nilai yang dapat Anda biarkan tidak berubah, kecuali jika nilai tersebut berkonflik dengan alamat yang sudah digunakan di jaringan Anda. Kubernetes menggunakan rentang ini untuk menetapkan alamat IP ke Pod dan Service di cluster Anda.
Isi kolom lainnya di bagian jaringan file konfigurasi sesuai kebutuhan.
loadBalancer
Sisihkan VIP untuk server Kubernetes API cluster admin Anda. Berikan
VIP Anda sebagai nilai untuk
loadBalancer.vips.controlPlaneVIP
Untuk mengetahui informasi selengkapnya, lihat VIP di subnet cluster admin.
Tentukan jenis load balancing yang ingin Anda gunakan. Opsinya adalah:
Load balancing yang dibundel MetalLB. Tetapkan
loadBalancer.kindke"MetalLB".Load balancing manual. Tetapkan
loadBalancer.kindke"ManualLB", dan hapus bagianmanualLB.
Untuk mengetahui informasi selengkapnya tentang opsi load balancing, lihat Ringkasan load balancing.
antiAffinityGroups
Tetapkan antiAffinityGroups.enabled
ke true atau false sesuai preferensi Anda.
Gunakan kolom ini untuk menentukan apakah Anda ingin Google Distributed Cloud membuat aturan anti-afinitas Distributed Resource Scheduler (DRS) VMware untuk node cluster admin Anda, sehingga node tersebut tersebar di setidaknya tiga host fisik di pusat data Anda.
adminMaster
Jika Anda ingin menentukan CPU dan memori untuk node control plane cluster admin, isi kolom cpus dan memoryMB di bagian adminMaster.
Cluster admin harus memiliki tiga node bidang kontrol. Tetapkan kolom replicas di bagian adminMaster ke 3.
proxy
Jika jaringan yang akan memiliki node cluster admin Anda berada di belakang server proxy, isi bagian
proxy.
privateRegistry
Tentukan tempat Anda ingin menyimpan image container untuk komponen Google Distributed Cloud. Opsinya adalah:
Artifact Registry
Registry Docker pribadi Anda sendiri.
Jika Anda ingin menggunakan registry pribadi Anda sendiri, isi bagian
privateRegistry.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan registry pribadi, termasuk perbedaan antara cluster normal dan cluster lanjutan, lihat Mengonfigurasi registry container pribadi.
componentAccessServiceAccountKeyPath
Google Distributed Cloud menggunakan akun layanan akses komponen Anda untuk mendownload komponen cluster dari Artifact Registry. Kolom ini menyimpan jalur file kunci JSON untuk akun layanan akses komponen Anda.
Kolom ini sudah diisi untuk Anda.
gkeConnect
Daftarkan cluster admin Anda
ke Google Cloud fleet dengan mengisi bagian
gkeConnect. Jika Anda menyertakan bagian stackdriver dan cloudAuditLogging dalam file konfigurasi, ID di gkeConnect.projectID harus sama dengan ID yang ditetapkan di stackdriver.projectID dan cloudAuditLogging.projectID. Jika ID project tidak sama, pembuatan cluster akan gagal.
Di 1.28 dan yang lebih baru, Anda dapat secara opsional menentukan region tempat layanan Fleet dan Connect berjalan di gkeConnect.location. Jika Anda tidak menyertakan kolom ini,
cluster akan menggunakan instance global dari layanan ini.
Jika Anda menyertakan gkeConnect.location, region yang Anda tentukan harus sama dengan region yang dikonfigurasi di cloudAuditLogging.clusterLocation, stackdriver.clusterLocation, dan gkeOnPremAPI.location. Jika regionnya
tidak sama, pembuatan cluster akan gagal.
gkeOnPremAPI
Jika GKE On-Prem API diaktifkan di project
Google Cloud , semua cluster dalam project tersebut akan
terdaftar di GKE On-Prem API
secara otomatis di region yang dikonfigurasi di stackdriver.clusterLocation.
Region gkeOnPremAPI.location harus sama dengan region yang ditentukan dalam
cloudAuditLogging.clusterLocation, gkeConnect.location,
dan stackdriver.clusterLocation. Jika region tidak sama, pembuatan cluster akan gagal.
Jika Anda ingin mendaftarkan semua cluster dalam project di GKE On-Prem API, pastikan untuk melakukan langkah-langkah di bagian Sebelum memulai untuk mengaktifkan dan menggunakan GKE On-Prem API dalam project.
Jika Anda tidak ingin mendaftarkan cluster di GKE On-Prem API, sertakan bagian ini dan tetapkan
gkeOnPremAPI.enabledkefalse. Jika Anda tidak ingin mendaftarkan cluster apa pun dalam project, nonaktifkangkeonprem.googleapis.com(nama layanan untuk GKE On-Prem API) dalam project. Untuk mengetahui petunjuknya, lihat Menonaktifkan layanan.
stackdriver
Jika Anda ingin mengaktifkan
Cloud Logging dan Cloud Monitoring
untuk cluster Anda, isi bagian
stackdriver.
Bagian ini wajib diisi secara default. Artinya, jika Anda tidak mengisi bagian ini, Anda harus menyertakan flag --skip-validation-stackdriver saat menjalankan gkectl create admin.
Perhatikan persyaratan berikut:
Jika Anda mengaktifkan cluster lanjutan, Anda harus menentukan jalur yang sama di
cloudAuditLogging.serviceAccountKeyPathdanstackdriver.serviceAccountKeyPath.ID di
stackdriver.projectIDharus sama dengan ID digkeConnect.projectIDdancloudAuditLogging.projectID.Region Google Cloud yang ditetapkan di
stackdriver.clusterLocationharus sama dengan region yang ditetapkan dicloudAuditLogging.clusterLocationdangkeConnect.location. Selain itu, jikagkeOnPremAPI.enabledadalahtrue, region yang sama harus ditetapkan digkeOnPremAPI.location.
Jika project ID dan region tidak sama, pembuatan cluster akan gagal.
cloudAuditLogging
Jika Anda ingin mengintegrasikan log audit dari server Kubernetes API cluster Anda dengan Cloud Audit Logs, isi bagian
cloudAuditLogging.
Perhatikan persyaratan berikut:
Jika mengaktifkan cluster lanjutan, Anda harus menentukan jalur yang sama di
cloudAuditLogging.serviceAccountKeyPathdanstackdriver.serviceAccountKeyPath.ID di
cloudAuditLogging.projectIDharus sama dengan ID digkeConnect.projectIDdanstackdriver.projectID.Region Google Cloud yang ditetapkan di
cloudAuditLogging.clusterLocationharus sama dengan region yang ditetapkan distackdriver.clusterLocationdangkeConnect.location(jika kolom disertakan dalam file konfigurasi Anda). Selain itu, jikagkeOnPremAPI.enabledadalahtrue, region yang sama harus ditetapkan digkeOnPremAPI.location.
Jika project ID dan region tidak sama, pembuatan cluster akan gagal.
clusterBackup
Jika Anda ingin mengaktifkan
pencadangan cluster admin,
tetapkan
clusterBackup.datastore
ke
penyimpanan data vSphere
tempat Anda ingin menyimpan cadangan cluster.
Jika Anda mengaktifkan cluster lanjutan, hapus bagian ini. Mencadangkan cluster admin ke datastore vSphere tidak didukung.
autoRepair
Jika Anda ingin
mengaktifkan perbaikan node otomatis
untuk cluster admin, tetapkan
autoRepair.enabled
ke true.
secretsEncryption
Jika Anda ingin mengaktifkan
enkripsi Secret yang selalu aktif,
isi bagian
secretsEncryption.
Jika Anda mengaktifkan cluster lanjutan, tetapkan secretsEncryption.enabled ke false.
Enkripsi Secret yang selalu aktif tidak didukung.
osImageType
Tentukan jenis image OS yang ingin Anda gunakan untuk node cluster admin, lalu
isi bagian
osImageType
dengan tepat.
Jika Anda mengaktifkan cluster lanjutan, tetapkan osImageType ke ubuntu_cgroupv2 atau
ubuntu_containerd.
Contoh file konfigurasi yang telah diisi
Berikut adalah contoh file konfigurasi cluster admin yang telah diisi. Konfigurasi mengaktifkan beberapa fitur yang tersedia, tetapi tidak semuanya.
vc-01-admin-cluster.yaml
apiVersion: v1
kind: AdminCluster
name: "gke-admin-01"
bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.28.0-gke.1-full.tgz"
vCenter:
address: "vc01.example"
datacenter: "vc-01"
cluster: "vc01-workloads-1"
resourcePool: "vc-01-pool-1"
datastore: "vc01-datastore-1"
caCertPath: "/usr/local/google/home/me/certs/vc01-cert.pem""
credentials:
fileRef:
path: "credential.yaml"
entry: "vCenter"
network:
hostConfig:
dnsServers:
- "203.0.113.1"
- "198.51.100.1"
ntpServers:
- "216.239.35.4"
serviceCIDR: "10.96.232.0/24"
podCIDR: "192.168.0.0/16"
vCenter:
networkName: "vc01-net-1"
controlPlaneIPBlock:
netmask: "255.255.248.0"
gateway: "21.0.143.254"
ips:
- ip: "21.0.140.226"
hostname: "admin-cp-vm-1"
- ip: "21.0.141.48"
hostname: "admin-cp-vm-2"
- ip: "21.0.141.65"
hostname: "admin-cp-vm-3"
loadBalancer:
vips:
controlPlaneVIP: "172.16.20.59"
kind: "MetalLB"
antiAffinityGroups:
enabled: true
adminMaster:
cpus: 4
memoryMB: 16384
replicas: 3
componentAccessServiceAccountKeyPath: "sa-key.json"
gkeConnect:
projectID: "my-project-123"
registerServiceAccountKeyPath: "connect-register-sa-2203040617.json"
stackdriver:
projectID: "my-project-123"
clusterLocation: "us-central1"
enableVPC: false
serviceAccountKeyPath: "log-mon-sa-2203040617.json"
disableVsphereResourceMetrics: false
clusterBackup:
datastore: "vc-01-datastore-bu"
autoRepair:
enabled: true
osImageType: "ubuntu_containerd"
Memvalidasi file konfigurasi Anda
Setelah Anda mengisi file konfigurasi cluster admin, jalankan
gkectl check-config untuk memverifikasi bahwa file tersebut valid:
gkectl check-config --config ADMIN_CLUSTER_CONFIG
Ganti ADMIN_CLUSTER_CONFIG dengan jalur file konfigurasi cluster admin Anda.
Jika perintah menampilkan pesan kegagalan, perbaiki masalahnya dan validasi file lagi.
Jika Anda ingin melewati validasi yang lebih memakan waktu, teruskan flag --fast.
Untuk melewati validasi satu per satu, gunakan flag --skip-validation-yyy. Untuk
mempelajari perintah check-config lebih lanjut, lihat
Menjalankan pemeriksaan preflight.
Mendapatkan image OS
Jalankan gkectl prepare untuk melakukan inisialisasi lingkungan vSphere Anda:
gkectl prepare --config ADMIN_CLUSTER_CONFIG
Perintah gkectl prepare melakukan tugas persiapan berikut:
Mengimpor image OS ke vSphere dan menandainya sebagai template VM.
Jika Anda menggunakan registry Docker pribadi, kirim image container ke registry Anda.
Secara opsional, memvalidasi pengesahan build image container, sehingga memverifikasi bahwa image dibangun dan ditandatangani oleh Google serta siap untuk di-deploy.
Jika Anda mengonfigurasi bundlePath
untuk menggunakan bundle lengkap, gkectl prepare menggunakan image OS dan container
yang disertakan dalam bundle, sehingga tidak perlu mendownloadnya dari
jaringan eksternal. Opsi ini direkomendasikan untuk lingkungan di balik proxy yang lambat atau dengan akses internet terbatas. Untuk mengetahui informasi selengkapnya, lihat
Tentang paket Google Distributed Cloud.
Buat cluster admin
Buat cluster admin:
gkectl create admin --config ADMIN_CLUSTER_CONFIG
Jika Anda menggunakan Kontrol Layanan VPC, Anda mungkin melihat error saat menjalankan beberapa perintah gkectl, seperti "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services". Untuk menghindari error ini, tambahkan
parameter --skip-validation-gcp ke perintah Anda.
Melanjutkan pembuatan cluster admin setelah terjadi kegagalan
Jika pembuatan cluster admin gagal atau dibatalkan, Anda dapat menjalankan perintah create lagi:
gkectl create admin --config ADMIN_CLUSTER_CONFIG
Cari file kubeconfig cluster admin
Perintah gkectl create admin akan membuat file kubeconfig bernama kubeconfig di direktori saat ini. Anda akan memerlukan file kubeconfig ini nanti untuk berinteraksi dengan cluster admin.
File kubeconfig berisi nama cluster admin Anda. Untuk melihat nama cluster, Anda dapat menjalankan:
kubectl config get-clusters --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Output menampilkan nama cluster. Contoh:
NAME gke-admin-tqk8x
Jika ingin, Anda dapat mengubah nama dan lokasi file kubeconfig.
Mengelola file checkpoint.yaml
Bagian ini hanya berlaku untuk cluster admin non-HA. File checkpoint.yaml
tidak digunakan untuk pembuatan cluster admin HA.
Saat Anda menjalankan perintah gkectl create admin untuk membuat cluster admin, perintah tersebut akan membuat file checkpoint di folder datastore yang sama dengan disk data cluster admin. Secara default, file ini memiliki nama
DATA_DISK_NAME‑checkpoint.yaml. Jika panjang
DATA_DISK_NAME lebih besar dari atau sama dengan 245 karakter, maka, karena
batas vSphere pada panjang nama file, nama tersebut adalah
DATA_DISK_NAME.yaml.
File ini berisi status dan kredensial cluster admin, dan digunakan untuk upgrade di masa mendatang. Jangan hapus file ini kecuali jika Anda mengikuti proses untuk menghapus cluster admin.
Jika telah mengaktifkan enkripsi VM di instance vCenter Server, Anda harus memiliki hak istimewa Cryptographic operations.Direct Access sebelum membuat atau mengupgrade cluster admin. Jika tidak, pos pemeriksaan tidak akan diupload. Jika Anda tidak dapat memperoleh hak istimewa ini, Anda dapat menonaktifkan upload file titik pemeriksaan menggunakan flag tersembunyi --disable-checkpoint saat menjalankan perintah yang relevan.
File checkpoint.yaml akan otomatis diperbarui saat Anda menjalankan perintah
gkectl upgrade admin, atau saat Anda menjalankan perintah gkectl update yang memengaruhi cluster admin.
Pastikan cluster admin Anda berjalan
Pastikan cluster admin Anda berjalan:
kubectl get nodes --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Ganti ADMIN_CLUSTER_KUBECONFIG dengan jalur file kubeconfig cluster admin Anda.
Output menampilkan node cluster admin. Contoh:
admin-cp-vm-1 Ready control-plane,master ... admin-cp-vm-2 Ready control-plane,master ... admin-cp-vm-3 Ready control-plane,master ...
Mencadangkan file
Sebaiknya cadangkan file kubeconfig cluster admin Anda. Artinya, salin file kubeconfig dari workstation admin Anda ke lokasi lain. Kemudian, jika Anda kehilangan akses ke workstation admin, atau jika file kubeconfig di workstation admin Anda terhapus secara tidak sengaja, Anda tetap memiliki akses ke cluster admin.
Sebaiknya Anda juga mencadangkan kunci SSH pribadi untuk cluster admin Anda. Kemudian, jika Anda kehilangan akses ke cluster admin, Anda masih dapat menggunakan SSH untuk terhubung ke node cluster admin. Dengan begitu, Anda dapat memecahkan masalah dan menyelidiki masalah konektivitas ke cluster admin.
Ekstrak kunci SSH dari cluster admin ke file bernama
admin-cluster-ssh-key:
kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get secrets -n kube-system sshkeys \
-o jsonpath='{.data.vsphere_tmp}' | base64 -d > admin-cluster-ssh-key
Sekarang Anda dapat mencadangkan admin-cluster-ssh-key ke lokasi lain pilihan Anda.
Kebijakan RBAC
Saat Anda mengisi
bagian gkeConnect
dalam file konfigurasi cluster admin, cluster akan didaftarkan ke
fleet Anda selama pembuatan atau pembaruan. Untuk mengaktifkan fungsi pengelolaan armada, Google Cloud men-deploy
agen Connect dan membuat akun layanan Google yang merepresentasikan project tempat cluster terdaftar.
Agen Connect membuat koneksi dengan akun layanan untuk menangani permintaan ke server Kubernetes API cluster. Hal ini memungkinkan akses ke fitur pengelolaan cluster dan workload di Google Cloud, termasuk akses ke konsolGoogle Cloud , yang memungkinkan Anda berinteraksi dengan cluster.
Server Kubernetes API cluster admin harus dapat mengizinkan permintaan dari agen Connect. Untuk memastikan hal ini, kebijakan role-based access control (RBAC) berikut dikonfigurasi di akun layanan:
Kebijakan peniruan identitas yang mengizinkan agen Connect mengirim permintaan ke server Kubernetes API atas nama akun layanan.
Kebijakan izin yang menentukan operasi yang diizinkan pada resource Kubernetes lainnya.
Akun layanan dan kebijakan RBAC diperlukan agar Anda dapat mengelola siklus proses cluster pengguna di konsol Google Cloud .