Buat cluster admin untuk software Google Distributed Cloud hanya untuk VMware menggunakan gkectl. Gunakan gkectl jika Anda perlu mengelola seluruh siklus proses cluster admin secara lokal dalam lingkungan lokal untuk memenuhi persyaratan keamanan, kepatuhan, atau air-gapped yang ketat. Anda juga dapat membuat cluster admin menggunakan
Terraform atau
Google Cloud konsol.
Sebelum memulai
Pastikan Anda telah menyiapkan dan dapat login ke workstation admin seperti yang dijelaskan dalam Membuat workstation admin.
Pastikan file kunci JSON untuk akun layanan ada di workstation admin Anda.
Tinjau dokumen perencanaan alamat IP . Pastikan Anda memiliki cukup alamat IP untuk tiga node bidang kontrol dan VIP bidang kontrol. Jika Anda berencana membuat cluster pengguna kubeception, Anda harus memiliki cukup alamat IP untuk node bidang kontrol cluster pengguna tersebut.
Tinjau ringkasan load balancing dan pertimbangkan kembali keputusan Anda tentang jenis load balancer yang ingin digunakan. Untuk load balancer manual, Anda harus menyiapkan load balancer sebelum membuat cluster admin.
Jika Anda menggunakan
gkectluntuk membuat cluster admin, tentukan apakah Anda ingin menggunakan registry publik atau pribadi untuk komponen Google Distributed Cloud. Untuk mengetahui informasi tentang cara menggunakan registry Docker pribadi, lihatprivateRegistry. Baik Terraform maupun konsol tidak mendukung penggunaan registry Docker pribadi untuk komponen sistem. Google CloudTentukan jenis sistem operasi yang ingin Anda jalankan di node cluster admin.
Jika organisasi Anda mewajibkan traffic keluar untuk melewati proxy server, pastikan untuk memasukkan API yang diperlukan dan alamat Artifact Registry ke daftar yang diizinkan.
Di versi 1.29 dan yang lebih tinggi, pemeriksaan preflight sisi server diaktifkan secara default. Pemeriksaan preflight sisi server memerlukan aturan firewall tambahan. Di Aturan firewall untuk cluster admin, telusuri "Pemeriksaan preflight" dan pastikan semua aturan firewall yang diperlukan telah dikonfigurasi. Pemeriksaan preflight sisi server dijalankan di cluster bootstrap, bukan secara lokal di workstation admin.
Ringkasan prosedur
Berikut adalah langkah-langkah utama yang terlibat dalam pembuatan cluster admin:
Isi file konfigurasi Anda. Tentukan detail untuk file konfigurasi kredensial admin baru Anda, dan mungkin file blok IP.
Impor OS image ke vSphere, dan kirim image container ke registry pribadi jika berlaku. Jalankan
gkectl prepare.Buat cluster admin. Gunakan
gkectluntuk membuat cluster admin baru seperti yang ditentukan dalam file konfigurasi yang telah diisi. Saat Google Distributed Cloud membuat cluster admin, cluster ini akan men-deploy cluster Kubernetes in Docker (kind) untuk menghosting sementara pengontrol Kubernetes yang diperlukan untuk membuat cluster admin. Cluster sementara ini disebut cluster bootstrap. Cluster pengguna dibuat dan diupgrade oleh admin pengelolanya tanpa menggunakan cluster bootstrap.Pastikan cluster admin Anda berjalan. Gunakan
kubectluntuk melihat node cluster Anda.
Di akhir prosedur ini, Anda akan memiliki cluster admin yang berjalan yang dapat digunakan untuk membuat dan mengelola cluster pengguna.
Jika Anda menggunakan Kontrol Layanan VPC, Anda mungkin akan melihat error saat menjalankan beberapa
gkectl perintah, seperti "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services". Untuk menghindari error ini, tambahkan parameter --skip-validation-gcp ke perintah Anda.
Mengisi file konfigurasi
Pastikan workstation admin Anda memiliki versi
gkectlyang diperlukan. Biasanya, Anda menggunakan versigkectlyang sama dengan versi yang akan digunakan saat Anda membuat cluster. Anda menentukan versi cluster di kolomgkeOnPremVersiondalam file konfigurasi cluster. Aturan versi berikut diterapkan selama pembuatan cluster:Versi minor
gkectltidak boleh lebih rendah dari versi minor untuk cluster. Misalnya, pembuatan cluster 1.30 menggunakangkectlversi 1.29 tidak diizinkan. Versi patch tidak masalah. Misalnya, Anda dapat menggunakangkectlversi 1.29.0-gke.1456 untuk membuat cluster dengan versi patch yang lebih tinggi, seperti 1.29.1000-gke.94.Versi minor
gkectltidak boleh lebih dari dua versi minor lebih tinggi dari versi cluster. Misalnya, jika Anda membuat cluster 1.28, versigkectldapat berupa 1.29 atau 1.30. Namun, Anda tidak dapat menggunakangkectlversi 1.31 karena tiga versi minor lebih tinggi dari versi cluster.
Jika diperlukan, lihat Mendownload
gkectluntuk mendapatkan versigkectlyang didukung.
Jika Anda menggunakan gkeadm untuk membuat workstation admin, file konfigurasi bernama admin-cluster.yaml akan dibuat.
Jika Anda tidak menggunakan gkeadm untuk membuat workstation admin, buat admin-cluster.yaml dengan menjalankan perintah ini di workstation admin Anda:
gkectl create-config admin
File konfigurasi ini digunakan untuk membuat cluster admin Anda.
Pelajari file konfigurasi dengan memindai dokumen file konfigurasi cluster admin. Anda mungkin ingin membuka dokumen ini di tab atau jendela terpisah, karena Anda akan merujuknya saat menyelesaikan langkah-langkah berikut.
name
Jika Anda ingin menentukan nama untuk cluster admin, isi kolom
name.
bundlePath
Paket adalah file zip yang berisi komponen cluster. Paket disertakan dengan workstation admin. Kolom ini sudah diisi untuk Anda.
vCenter
Kolom di bagian ini sudah diisi dengan nilai yang Anda masukkan saat membuat workstation admin.
enableAdvancedCluster
Di versi 1.31, jika Anda ingin mengaktifkan fitur cluster lanjutan, tetapkan
enableAdvancedCluster
ke true.
Perhatikan perbedaan berikut antarversi:
Di versi 1.31, fitur cluster lanjutan berada dalam pratinjau:
Anda hanya dapat mengaktifkan cluster lanjutan saat pembuatan cluster untuk cluster 1.31 baru.
Setelah cluster lanjutan diaktifkan, Anda tidak akan dapat mengupgrade cluster ke 1.32. Hanya aktifkan cluster lanjutan di lingkungan pengujian.
Di versi 1.32, fitur cluster lanjutan adalah GA.
Secara default, cluster admin dibuat sebagai cluster lanjutan. Anda harus menetapkan
enableAdvancedClustersecara eksplisit kefalsejika ingin membuat cluster non-lanjutan.Untuk cluster yang mengaktifkan fitur cluster lanjutan, upgrade cluster didukung.
Di versi 1.33 dan yang lebih tinggi, semua cluster dibuat sebagai cluster lanjutan. Jika Anda menetapkan
enableAdvancedClusterkefalse, pembuatan cluster akan gagal.
network
Isi
network.controlPlaneIPBlock
bagian dan
network.hostConfig bagian. Tetapkan juga
adminMaster.replicas
ke 3.
Kolom network.podCIDR dan network.serviceCIDR memiliki nilai yang sudah diisi sebelumnya yang dapat Anda biarkan tidak berubah kecuali jika kolom tersebut bertentangan dengan alamat yang sudah digunakan di jaringan Anda. Kubernetes menggunakan rentang ini untuk menetapkan alamat IP ke Pod dan Service di cluster Anda.
Isi kolom lainnya di bagian jaringan file konfigurasi sesuai kebutuhan.
loadBalancer
Sisihkan VIP untuk server Kubernetes API cluster admin Anda. Berikan VIP Anda sebagai nilai untuk
loadBalancer.vips.controlPlaneVIP
Untuk mengetahui informasi selengkapnya, lihat VIP di subnet cluster admin.
Tentukan jenis load balancing yang ingin Anda gunakan. Opsinya adalah:
Load balancing yang disertakan MetalLB. Tetapkan
loadBalancer.kindke"MetalLB".Load balancing manual. Tetapkan
loadBalancer.kindke"ManualLB", dan hapus bagianmanualLB.
Untuk mengetahui informasi selengkapnya tentang opsi load balancing, lihat Ringkasan load balancing.
antiAffinityGroups
Tetapkan antiAffinityGroups.enabled
ke true atau false sesuai preferensi Anda.
Gunakan kolom ini untuk menentukan apakah Anda ingin Google Distributed Cloud membuat VMware Distributed Resource Scheduler (DRS) aturan anti-afinitas untuk node cluster admin Anda, sehingga node tersebut tersebar di setidaknya tiga host fisik di pusat data Anda.
adminMaster
Jika Anda ingin menentukan CPU dan memori untuk node bidang kontrol cluster admin, isi kolom cpus dan memoryMB di bagian
adminMaster.
Cluster admin harus memiliki tiga node bidang kontrol. Tetapkan kolom replicas di bagian adminMaster ke 3.
proxy
Jika jaringan yang akan memiliki node cluster admin Anda berada di belakang server proxy,
isi bagian
proxy.
privateRegistry
Tentukan tempat Anda ingin menyimpan image container untuk komponen Google Distributed Cloud. Opsinya adalah:
Artifact Registry
Registry Docker pribadi Anda sendiri.
Jika Anda ingin menggunakan registry pribadi Anda sendiri, isi
privateRegistrybagian.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan registry pribadi, termasuk perbedaan antara cluster normal dan cluster lanjutan, lihat Mengonfigurasi registry container pribadi.
componentAccessServiceAccountKeyPath
Google Distributed Cloud menggunakan akun layanan akses komponen Anda untuk mendownload komponen cluster dari Artifact Registry. Kolom ini menyimpan jalur file kunci JSON untuk akun layanan akses komponen Anda.
Kolom ini sudah diisi untuk Anda.
gkeConnect
Daftarkan cluster admin Anda
ke Google Cloud fleet dengan mengisi bagian
gkeConnect. Jika Anda menyertakan bagian stackdriver dan cloudAuditLogging dalam file konfigurasi, ID di gkeConnect.projectID harus sama dengan ID yang ditetapkan di stackdriver.projectID dan cloudAuditLogging.projectID. Jika ID project tidak sama, pembuatan cluster akan gagal.
Di versi 1.28 dan yang lebih baru, Anda dapat secara opsional menentukan region tempat layanan Fleet dan Connect berjalan di gkeConnect.location. Jika Anda tidak menyertakan kolom ini, cluster akan menggunakan instance global dari layanan ini.
Jika Anda menyertakan gkeConnect.location, region yang Anda tentukan harus sama dengan region yang dikonfigurasi di cloudAuditLogging.clusterLocation, stackdriver.clusterLocation, dan gkeOnPremAPI.location. Jika region tidak sama, pembuatan cluster akan gagal.
gkeOnPremAPI
Jika GKE On-Prem API diaktifkan di
Google Cloud project Anda, semua cluster dalam project akan
otomatis didaftarkan ke GKE On-Prem API
di region yang dikonfigurasi di stackdriver.clusterLocation.
Region gkeOnPremAPI.location harus sama dengan region yang ditentukan di cloudAuditLogging.clusterLocation, gkeConnect.location, dan stackdriver.clusterLocation. Jika region tidak sama, pembuatan cluster akan gagal.
Jika Anda ingin mendaftarkan semua cluster dalam project ke GKE On-Prem API, pastikan untuk melakukan langkah-langkah di Sebelum memulai untuk mengaktifkan dan menggunakan GKE On-Prem API di project.
Jika Anda tidak ingin mendaftarkan cluster ke GKE On-Prem API, sertakan bagian ini dan tetapkan
gkeOnPremAPI.enabledkefalse. Jika Anda tidak ingin mendaftarkan cluster apa pun di project, nonaktifkangkeonprem.googleapis.com(nama layanan untuk GKE On-Prem API) di project. Untuk mengetahui petunjuknya, lihat Menonaktifkan layanan.
stackdriver
Jika Anda ingin mengaktifkan
Cloud Logging dan Cloud Monitoring
untuk cluster Anda, isi bagian
stackdriver.
Bagian ini diperlukan secara default. Artinya, jika Anda tidak mengisi bagian ini, Anda harus menyertakan flag --skip-validation-stackdriver saat menjalankan gkectl create admin.
Perhatikan persyaratan berikut:
Jika Anda mengaktifkan cluster lanjutan, Anda harus menentukan jalur yang sama di
cloudAuditLogging.serviceAccountKeyPathdanstackdriver.serviceAccountKeyPath.ID di
stackdriver.projectIDharus sama dengan ID digkeConnect.projectIDdancloudAuditLogging.projectID.Region yang ditetapkan di
stackdriver.clusterLocationharus sama dengan region yang ditetapkan dicloudAuditLogging.clusterLocationdangkeConnect.location. Google Cloud Selain itu, jikagkeOnPremAPI.enabledadalahtrue, region yang sama harus ditetapkan digkeOnPremAPI.location.
Jika ID project dan region tidak sama, pembuatan cluster akan gagal.
cloudAuditLogging
Jika Anda ingin mengintegrasikan log audit dari server Kubernetes API cluster Anda dengan Cloud Audit Logs, isi bagian
cloudAuditLogging.
Perhatikan persyaratan berikut:
Jika Anda mengaktifkan cluster lanjutan, Anda harus menentukan jalur yang sama di
cloudAuditLogging.serviceAccountKeyPathdanstackdriver.serviceAccountKeyPath.ID di
cloudAuditLogging.projectIDharus sama dengan ID digkeConnect.projectIDdanstackdriver.projectID.Region yang ditetapkan di
cloudAuditLogging.clusterLocationharus sama dengan region yang ditetapkan distackdriver.clusterLocationdangkeConnect.location(jika kolom disertakan dalam file konfigurasi Anda). Google Cloud Selain itu, jikagkeOnPremAPI.enabledadalahtrue, region yang sama harus ditetapkan digkeOnPremAPI.location.
Jika ID project dan region tidak sama, pembuatan cluster akan gagal.
clusterBackup
Jika Anda ingin mengaktifkan
pencadangan cluster admin,
tetapkan
clusterBackup.datastore
ke
datastore vSphere
tempat Anda ingin menyimpan cadangan cluster.
Jika Anda mengaktifkan cluster lanjutan, hapus bagian ini. Pencadangan cluster admin ke datastore vSphere tidak didukung.
autoRepair
Jika Anda ingin
mengaktifkan perbaikan node otomatis
untuk cluster admin Anda, tetapkan
autoRepair.enabled
ke true.
secretsEncryption
Jika Anda ingin mengaktifkan
enkripsi Secret yang selalu aktif,
isi bagian
secretsEncryption.
Jika Anda mengaktifkan cluster lanjutan, tetapkan secretsEncryption.enabled ke false.
Enkripsi Secret yang selalu aktif tidak didukung.
osImageType
Tentukan jenis OS image yang ingin Anda gunakan untuk node cluster admin, dan
isi bagian
osImageType
dengan tepat.
Jika Anda mengaktifkan cluster lanjutan, tetapkan osImageType ke ubuntu_cgroupv2 atau ubuntu_containerd.
Contoh file konfigurasi yang diisi
Berikut adalah contoh file konfigurasi cluster admin yang diisi. Konfigurasi ini mengaktifkan beberapa, tetapi tidak semua, fitur yang tersedia.
vc-01-admin-cluster.yaml
apiVersion: v1
kind: AdminCluster
name: "gke-admin-01"
bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.28.0-gke.1-full.tgz"
vCenter:
address: "vc01.example"
datacenter: "vc-01"
cluster: "vc01-workloads-1"
resourcePool: "vc-01-pool-1"
datastore: "vc01-datastore-1"
caCertPath: "/usr/local/google/home/me/certs/vc01-cert.pem""
credentials:
fileRef:
path: "credential.yaml"
entry: "vCenter"
network:
hostConfig:
dnsServers:
- "203.0.113.1"
- "198.51.100.1"
ntpServers:
- "216.239.35.4"
serviceCIDR: "10.96.232.0/24"
podCIDR: "192.168.0.0/16"
vCenter:
networkName: "vc01-net-1"
controlPlaneIPBlock:
netmask: "255.255.248.0"
gateway: "21.0.143.254"
ips:
- ip: "21.0.140.226"
hostname: "admin-cp-vm-1"
- ip: "21.0.141.48"
hostname: "admin-cp-vm-2"
- ip: "21.0.141.65"
hostname: "admin-cp-vm-3"
loadBalancer:
vips:
controlPlaneVIP: "172.16.20.59"
kind: "MetalLB"
antiAffinityGroups:
enabled: true
adminMaster:
cpus: 4
memoryMB: 16384
replicas: 3
componentAccessServiceAccountKeyPath: "sa-key.json"
gkeConnect:
projectID: "my-project-123"
registerServiceAccountKeyPath: "connect-register-sa-2203040617.json"
stackdriver:
projectID: "my-project-123"
clusterLocation: "us-central1"
enableVPC: false
serviceAccountKeyPath: "log-mon-sa-2203040617.json"
disableVsphereResourceMetrics: false
clusterBackup:
datastore: "vc-01-datastore-bu"
autoRepair:
enabled: true
osImageType: "ubuntu_containerd"
Memvalidasi file konfigurasi Anda
Setelah Anda mengisi file konfigurasi cluster admin, jalankan gkectl check-config untuk memverifikasi bahwa file tersebut valid:
gkectl check-config --config ADMIN_CLUSTER_CONFIG
Ganti ADMIN_CLUSTER_CONFIG dengan jalur file konfigurasi cluster admin Anda.
Jika perintah menampilkan pesan kegagalan, perbaiki masalah tersebut dan validasi file lagi.
Jika Anda ingin melewati validasi yang lebih memakan waktu, teruskan flag --fast.
Untuk melewati validasi individual, gunakan flag --skip-validation-yyy. Untuk
mempelajari perintah check-config lebih lanjut, lihat
Menjalankan pemeriksaan preflight.
Mendapatkan OS image
Jalankan gkectl prepare untuk menginisialisasi lingkungan vSphere Anda:
gkectl prepare --config ADMIN_CLUSTER_CONFIG
Perintah gkectl prepare melakukan tugas persiapan berikut:
Mengimpor OS image ke vSphere dan menandainya sebagai template VM.
Jika Anda menggunakan registry Docker pribadi, kirim image container ke registry Anda.
Secara opsional, memvalidasi pernyataan build image container, sehingga memverifikasi bahwa image dibuat dan ditandatangani oleh Google serta siap untuk di-deploy.
Jika Anda mengonfigurasi bundlePath
untuk menggunakan paket lengkap, gkectl prepare akan menggunakan OS dan image container
yang disertakan dalam paket, sehingga tidak perlu mendownloadnya dari jaringan eksternal. Tindakan ini direkomendasikan untuk lingkungan di belakang proxy yang lambat atau dengan akses internet terbatas. Untuk mengetahui informasi selengkapnya, lihat
Tentang paket Google Distributed Cloud.
Membuat cluster admin
Buat cluster admin:
gkectl create admin --config ADMIN_CLUSTER_CONFIG
Jika Anda menggunakan Kontrol Layanan VPC, Anda mungkin akan melihat error saat menjalankan beberapa
gkectl perintah, seperti "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services". Untuk menghindari error ini, tambahkan parameter --skip-validation-gcp ke perintah Anda.
Melanjutkan pembuatan cluster admin setelah terjadi kegagalan
Jika pembuatan cluster admin gagal atau dibatalkan, Anda dapat menjalankan kembali perintah create:
gkectl create admin --config ADMIN_CLUSTER_CONFIG
Menemukan file kubeconfig cluster admin
Perintah gkectl create admin membuat file kubeconfig bernama kubeconfig di direktori saat ini. Anda akan memerlukan file kubeconfig ini nanti untuk berinteraksi dengan cluster admin Anda.
File kubeconfig berisi nama cluster admin Anda. Untuk melihat nama cluster, Anda dapat menjalankan:
kubectl config get-clusters --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Output menampilkan nama cluster. Contoh:
NAME gke-admin-tqk8x
Jika mau, Anda dapat mengubah nama dan lokasi file kubeconfig.
Mengelola file checkpoint.yaml
Bagian ini hanya berlaku untuk cluster admin non-HA. File checkpoint.yaml tidak digunakan untuk pembuatan cluster admin HA.
Saat Anda menjalankan perintah gkectl create admin untuk membuat cluster admin, perintah tersebut akan membuat file checkpoint di folder datastore yang sama dengan disk data cluster admin. Secara default, file ini memiliki nama
DATA_DISK_NAME‑checkpoint.yaml. Jika panjang
DATA_DISK_NAME lebih besar dari atau sama dengan 245 karakter, maka, karena
batas vSphere pada panjang nama file, namanya adalah
DATA_DISK_NAME.yaml.
File ini berisi status dan kredensial cluster admin, dan digunakan untuk upgrade mendatang. Jangan hapus file ini kecuali jika Anda mengikuti proses untuk menghapus cluster admin.
Jika Anda telah mengaktifkan enkripsi VM di instance vCenter Server, Anda
harus memiliki
Cryptographic operations.Direct Access
hak istimewa sebelum membuat atau mengupgrade
cluster admin. Jika tidak, checkpoint tidak akan diupload. Jika Anda tidak dapat memperoleh hak istimewa ini, Anda dapat menonaktifkan upload file checkpoint menggunakan flag tersembunyi --disable-checkpoint saat menjalankan perintah yang relevan.
File checkpoint.yaml otomatis diperbarui saat Anda menjalankan perintah gkectl upgrade admin, atau saat Anda menjalankan perintah gkectl update yang memengaruhi cluster admin.
Memverifikasi bahwa cluster admin Anda berjalan
Verifikasi bahwa cluster admin Anda berjalan:
kubectl get nodes --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Ganti ADMIN_CLUSTER_KUBECONFIG dengan jalur file kubeconfig cluster admin Anda.
Output menampilkan node cluster admin. Contoh:
admin-cp-vm-1 Ready control-plane,master ... admin-cp-vm-2 Ready control-plane,master ... admin-cp-vm-3 Ready control-plane,master ...
Mencadangkan file
Sebaiknya cadangkan file kubeconfig cluster admin Anda. Artinya, salin file kubeconfig dari workstation admin Anda ke lokasi lain. Kemudian, jika Anda kehilangan akses ke workstation admin, atau jika file kubeconfig di workstation admin Anda tidak sengaja terhapus, Anda tetap memiliki akses ke cluster admin.
Sebaiknya cadangkan juga kunci SSH pribadi untuk cluster admin Anda. Kemudian, jika Anda kehilangan akses ke cluster admin, Anda masih dapat menggunakan SSH untuk terhubung ke node cluster admin. Hal ini akan memungkinkan Anda memecahkan masalah dan menyelidiki masalah konektivitas ke cluster admin.
Ekstrak kunci SSH dari cluster admin ke file bernama admin-cluster-ssh-key:
kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get secrets -n kube-system sshkeys \
-o jsonpath='{.data.vsphere_tmp}' | base64 -d > admin-cluster-ssh-key
Sekarang Anda dapat mencadangkan admin-cluster-ssh-key ke lokasi lain pilihan Anda.
Kebijakan RBAC
Saat Anda mengisi bagian
gkeConnect di file konfigurasi cluster admin, cluster akan didaftarkan ke
fleet Anda selama pembuatan atau pembaruan. Untuk mengaktifkan
fungsi pengelolaan fleet, Google Cloud akan men-deploy
agen Connect dan membuat
akun layanan Google yang mewakili project tempat cluster didaftarkan.
Agen Connect membuat koneksi dengan akun layanan untuk menangani permintaan ke server Kubernetes API cluster. Hal ini memungkinkan akses ke
fitur pengelolaan cluster dan workload di Google Cloud, termasuk akses
ke Google Cloud konsol, yang memungkinkan Anda berinteraksi dengan
cluster Anda.
Server Kubernetes API cluster admin harus dapat mengotorisasi permintaan dari agen Connect. Untuk memastikan hal ini, kebijakan kontrol akses berbasis peran (RBAC) berikut dikonfigurasi di akun layanan:
An kebijakan peniruan identitas yang mengotorisasi agen Connect untuk mengirim permintaan ke Kubernetes API server atas nama akun layanan.
Kebijakan izin yang menentukan operasi yang diizinkan pada resource Kubernetes lainnya.
Akun layanan dan kebijakan RBAC diperlukan agar Anda dapat mengelola siklus proses cluster pengguna di Google Cloud konsol.