Utilizzo di Connect Gateway

Questa pagina spiega come utilizzare Connect Gateway per connettersi a un cluster registrato. Prima di leggere questa pagina, assicurati di conoscere i concetti descritti nella nostra panoramica. La guida presuppone che l'amministratore del progetto abbia già configurato il gateway e ti abbia assegnato i ruoli e le autorizzazioni necessari.

Prima di iniziare

Assicurati di aver installato i seguenti strumenti a riga di comando:
- L'ultima versione di Google Cloud CLI, lo strumento a riga di comando per interagire con Google Cloud.
- kubectl
Se utilizzi Cloud Shell come ambiente shell per interagire con Google Cloud, questi strumenti vengono installati automaticamente.
Assicurati di aver inizializzato gcloud CLI per l'utilizzo con il tuo progetto.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare il gateway di connessione per connetterti ai cluster ed eseguire comandi, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto del cluster:

Recupera il file kubeconfig per il cluster: Lettore di Connect Gateway (roles/gkehub.gatewayReader)
Esegui i comandi dell'interfaccia a riga di comando kubectl: Connect Gateway Admin (roles/gkehub.gatewayAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Il ruolo Amministratore di Connect Gateway (roles/gkehub.gatewayAdmin) è l'unico ruolo predefinito che contiene l'autorizzazione gkehub.gateway.stream, necessaria per eseguire i comandi dell'interfaccia a riga di comando kubectl come attach, exec, port-forward e cp.

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Accedi al tuo account Google Cloud

Puoi utilizzare il tuo account Google Cloud o un Google Cloud service account per interagire con i cluster connessi tramite l'API Gateway.

Segui le istruzioni riportate in Autorizzazione degli strumenti Google Cloud CLI per accedere al tuo account utente. Il gateway Connect supporta l'impersonificazione dell'account di servizio, quindi anche se hai eseguito l'accesso al tuo account utente, puoi utilizzare un account di servizio per interagire con i cluster, come vedrai nelle sezioni seguenti.

Seleziona un cluster registrato

Se non conosci il nome del cluster a cui vuoi accedere, puoi visualizzare tutti i cluster registrati del tuo parco risorse attuale eseguendo il seguente comando:

gcloud container fleet memberships list

Vengono elencati tutti i cluster del parco risorse, inclusi i relativi nomi di appartenenza e ID esterni. Ogni cluster in un parco risorse ha un nome di appartenenza univoco. Per i cluster GKE, il nome dell'appartenenza in genere corrisponde al nome che hai assegnato al cluster quando l'hai creato, a meno che il nome del cluster non fosse univoco all'interno del progetto al momento della registrazione.

Recupera il gateway del cluster `kubeconfig`

Utilizza il seguente comando per ottenere kubeconfig necessario per interagire con il cluster specificato:

gcloud container fleet memberships get-credentials MEMBERSHIP_NAME

Sostituisci MEMBERSHIP_NAME con il nome dell'appartenenza al parco risorse del tuo cluster.

Questo comando restituisce un kubeconfig specifico per Connect Gateway che ti consente di connetterti al cluster tramite Connect Gateway.

Se vuoi utilizzare un account di servizio anziché il tuo account Google Cloud , utilizza gcloud config per impostare auth/impersonate_service_account sull'indirizzo email del service account.

Per recuperare le credenziali del cluster utilizzate per interagire con Connect Gateway utilizzando unaccount di serviziot, esegui i seguenti comandi: Tieni presente quanto segue:

Cluster Google Distributed Cloud (solo software) su bare metal e VMware: il nome del membro è uguale al nome del cluster.
GKE su AWS: utilizza gcloud container aws clusters get-credentials.
GKE su Azure: utilizza gcloud container azure clusters get-credentials.

Per scoprire di più su come consentire agli utenti di assumere l'identità di un account di servizio, consulta Gestire l'accesso ai service account.

gcloud config set auth/impersonate_service_account SA_EMAIL_ADDRESS
gcloud container fleet memberships get-credentials MEMBERSHIP_NAME

Sostituisci SA_EMAIL_ADDRESS con l'indirizzo email del account di servizio. Per saperne di più su come consentire agli utenti di assumere l'identità di un service account, consulta Gestire l'accesso ai service account.

Esegui comandi sul cluster

Una volta ottenute le credenziali necessarie, puoi eseguire i comandi utilizzando kubectl o un go-client come faresti normalmente per qualsiasi cluster Kubernetes. L'output dovrebbe essere simile al seguente:

# Get namespaces in the Cluster.
kubectl get namespaces
NAME              STATUS   AGE
default           Active   59d
gke-connect       Active   4d

Comandi kubectl exec/cp/attach/port-forward

I seguenti comandi kubectl sono comandi di streaming e hanno requisiti aggiuntivi:

attach
cp
exec
port-forward

Per eseguire questi comandi, devi soddisfare i seguenti requisiti:

I cluster devono essere alla versione 1.30 o successive per i comandi attach, cp e exec e alla versione 1.31 o successive per il comando port-forward.
Il client kubectl deve essere alla versione 1.31 o successiva. Per controllare la versione del client, esamina l'output del comando kubectl version. Per installare una versione più recente di kubectl, consulta Installare gli strumenti.
Gli utenti e i service account devono disporre del seguente accesso aggiuntivo all'API Kubernetes tramite IAM o RBAC:
- IAM: concedi un ruolo che includa l'autorizzazione gkehub.gateway.stream. Il ruolo predefinito roles/gkehub.gatewayAdmin include questa autorizzazione. Puoi anche assegnare questa autorizzazione a un ruolo personalizzato.
- RBAC: concedi un ruolo o un ClusterRole che includa l'accesso get alle risorse secondarie API pods/exec, pods/portforward e pods/attach, come nel seguente esempio di ruolo e RoleBinding:
```
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: stream-role
  namespace: NAMESPACE # Specify the namespace
rules:
- apiGroups: ["*"]
  resources: ["pods/exec", "pods/attach", "pods/portforward"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: stream-rolebinding
  namespace: NAMESPACE # Specify the namespace
roleRef:
  apiGroup: "rbac.authorization.k8s.io"
  kind: Role
  name: stream-role
subjects:
- kind: Group
  name: EMAIL # Specify the group that should have stream access
```
  Sostituisci quanto segue:
  - NAMESPACE: lo spazio dei nomi per il ruolo e RoleBinding.
  - EMAIL: l'indirizzo email del gruppo che deve avere accesso al flusso, se il cluster supporta il controllo degli accessi basato sui ruoli (RBAC) con i gruppi.
  Il ClusterRole predefinito cluster-admin include anche queste autorizzazioni.

Risoluzione dei problemi

Se hai problemi a connetterti a un cluster tramite il gateway, tu o il tuo amministratore potete verificare la presenza dei seguenti problemi comuni.

Il server non ha un tipo di risorsa: potresti visualizzare questo messaggio di errore quando il comando kubectl get ns non va a buon fine. Esistono diversi motivi potenziali per questo errore. Esegui i comandi kubectl in modalità dettagliata per visualizzare maggiori dettagli, ad esempio kubectl get ns -v 10.
Impossibile trovare connessioni attive per il cluster(progetto: 12345, appartenenza: my-cluster): potresti visualizzare questo errore quando l'agente Connect perde la connettività o non è installato correttamente (solo cluster esterni a Google Cloud ). Per risolvere il problema, devi verificare se lo spazio dei nomi gke-connect esiste nel cluster. Se lo spazio dei nomi gke-connect esiste nel cluster, consulta la pagina di risoluzione dei problemi di connessione per risolvere i problemi di connettività.
Impossibile trovare l'URL richiesto su questo server: potresti visualizzare questo errore quando kubeconfig contiene un indirizzo del server errato. Assicurati che la versione di Google Cloud CLI che stai utilizzando sia l'ultima versione e riprova a generare il gateway kubeconfig. Non modificare manualmente il file kubeconfig, altrimenti si verificheranno errori imprevisti.
L'identità utente non dispone di autorizzazioni sufficienti per utilizzare l'API gateway: per utilizzare l'API, devi disporre del ruolo roles/gkehub.gatewayAdmin roles/gkehub.gatewayReader o roles/gkehub.gatewayEditor. Per maggiori dettagli, vedi Concedere ruoli IAM agli utenti nella guida alla configurazione del gateway.
L'agente Connect non è autorizzato a inviare le richieste dell'utente: l'agente Connect deve essere autorizzato a inoltrare le richieste per tuo conto, il che viene specificato utilizzando un criterio di rappresentazione sul cluster. Per un esempio di aggiunta di un utente al ruolo gateway-impersonate, consulta Configurare l'autorizzazione RBAC nella guida alla configurazione del gateway.
L'identità utente non dispone di autorizzazioni RBAC sufficienti per eseguire l'operazione: devi disporre delle autorizzazioni appropriate sul cluster per eseguire le operazioni scelte. Per un esempio di aggiunta di un utente al ClusterRole appropriato, consulta Configurare l'autorizzazione RBAC nella guida alla configurazione del gateway.
L'identità utente non dispone di autorizzazioni sufficienti per eseguire l'operazione quando utilizza Google Gruppi o l'assistenza di terze parti: consulta Raccolta dei log di GKE Identity Service per istruzioni su come esaminare i log relativi alle informazioni sull'identità.
L'agente Connect non è integro: consulta la pagina di risoluzione dei problemi di Connect per assicurarti che il cluster sia connesso.
executable gke-gcloud-auth-plugin not found o no Auth Provider found for name gcp: le versioni di kubectl 1.26 e successive potrebbero mostrare questo errore a causa delle modifiche all'autenticazione kubectl a partire da GKE v1.26. Installa gke-gcloud-auth-plugin ed esegui di nuovo gcloud container fleet memberships get-credentials MEMBERSHIP_NAME con l'ultima versione di Google Cloud CLI.
Le connessioni al gateway non riescono con le versioni precedenti di Google Cloud CLI: per i cluster GKE, l'agente Connect non è più necessario per il funzionamento del gateway, pertanto non viene installato per impostazione predefinita durante la registrazione dell'appartenenza. Le versioni precedenti di Google Cloud CLI (399.0.0 e precedenti) presuppongono l'esistenza dell'agente Connect sul cluster. Il tentativo di utilizzare il gateway con queste versioni precedenti potrebbe non riuscire sui cluster registrati con una versione più recente di Google Cloud CLI. Per risolvere il problema, esegui l'upgrade del client Google Cloud CLI a una versione più recente o esegui di nuovo il comando di registrazione dell'abbonamento con il flag --install-connect-agent.
La dimensione dei gruppi restituiti nel gruppo gke-security-groups supera il limite di 8 KB per le dimensioni dell'intestazione HTTP. Riorganizza la gerarchia dei gruppi e riprova: anche se non esiste un limite rigido al numero di gruppi, i nomi dei gruppi lunghi possono causare il superamento del limite di dimensione dell'intestazione HTTP di 8 KB e generare errori che potrebbero richiedere la ristrutturazione della gerarchia dei gruppi.

Risoluzione dei problemi relativi a kubectl exec/cp/attach/port-forward

L'errore restituito dall'esecuzione del comando è spesso un errore 400 Bad Request generico che non è abbastanza chiaro per eseguire il debug del problema. Per restituire messaggi di errore più dettagliati, utilizza la versione 1.32 o successive del client kubectl per eseguire il comando con un livello di verbosità pari a 4 o superiore, ad esempio: kubectl exec -v 4 ....

Nei log restituiti, cerca il log che contiene le seguenti risposte:

Per il comando kubectl exec/cp/attach: RemoteCommand fallback:
Per il comando kubectl port-forward: fallback to secondary dialer from primary dialer err:

Per risolvere i problemi relativi ad alcuni dei messaggi di errore comuni che potresti ricevere dal comando kubectl exec -v 4 ..., consulta la sezione seguente.

Autorizzazioni IAM mancanti

Se il messaggio di errore contiene generic::permission_denied: Permission'gkehub.gateway.stream' denied on resource, potrebbe indicare che non ti sono state concesse le autorizzazioni IAM necessarie per eseguire il comando. Questa funzionalità richiede che gli utenti dispongano dell'autorizzazione IAM gkehub.gateway.stream, inclusa per impostazione predefinita nel ruolo roles/gkehub.gatewayAdmin. Per istruzioni, consulta la sezione sulle autorizzazioni IAM.

Autorizzazioni RBAC obbligatorie mancanti

Se il messaggio di errore contiene ...generic::failed_precondition: failed to connect to the cluster's API Server with response (status=403 Forbidden..., significa che ti mancano le autorizzazioni RBAC. Per eseguire questi comandi kubectl, devi disporre di un insieme di autorizzazioni RBAC nel cluster. Per ulteriori informazioni sulla configurazione delle autorizzazioni RBAC richieste, consulta Creare e applicare policy RBAC aggiuntive, se necessario.

Messaggio di errore generic::resource_exhausted: Gateway's active_streams quota exhausted

Esiste un limite di quota di 10 stream attivi per progetto host del parco risorse. Questo è definito nella quota connectgateway.googleapis.com/active_streams. Consulta Visualizza e gestisci le quote per istruzioni sulla gestione delle quote.

Messaggio di errore generic::failed_precondition: error encountered within the cluster

Se ricevi l'errore generic::failed_precondition: error encountered within the cluster, controlla i log dell'agente Connect nel cluster per identificare la causa sottostante:

kubectl logs -n gke-connect -l app=gke-connect-agent --tail -1

Il log da cercare nell'agente Connect è failed to create the websocket connection....

Messaggio di errore generic::failed_precondition: connection to Agent failed/terminated

Se si verifica questo errore immediatamente dopo l'esecuzione del comando, si è verificato un problema con la connessione del cluster a Google. Per saperne di più, consulta la guida alla risoluzione dei problemi generale.

Se riscontri questo errore dopo che la sessione è attiva per circa 20-30 minuti, si tratta di una limitazione prevista per motivi di sicurezza. La connessione deve essere ristabilita.

`kubectl --raw` - Risoluzione dei problemi

L'utilizzo di un endpoint abbreviato (ad esempio kubectl get --raw /version) potrebbe generare il seguente errore: Error from server (NotFound): the server could not find the requested resource. Devi fornire l'indirizzo completo del server.

Recupera l'endpoint da kubeconfig:

# e.g. https://connectgateway.googleapis.com/v1/projects/1234567/locations/global/gkeMemberships/my-membership
FULL_GATEWAY_ENDPOINT=$(kubectl config view --minify -o jsonpath='{.clusters[*].cluster.server}')
echo $FULL_GATEWAY_ENDPOINT

Quindi utilizza l'endpoint per il comando, ad esempio con /version:

kubectl get --raw $FULL_GATEWAY_ENDPOINT/version

Passaggi successivi

Consulta un esempio di come utilizzare il gateway Connect nell'ambito dell'automazione DevOps nel nostro tutorial Integrazione con Cloud Build.