Connect Agent – Übersicht

Wenn Sie einen Cluster außerhalb von Google Cloud für Ihre Flotte registrieren, Google Cloud verwendet eine Bereitstellung namens Connect Agent, um eine Verbindung zwischen dem Cluster und Ihrem Google Cloud Projekt herzustellen und um Kubernetes-Anfragen zu bearbeiten. Der Connect Agent ist nicht erforderlich, um eine Verbindung für GKE-Cluster herzustellen, die in Google Cloudausgeführt werden.

Dies ermöglicht den Zugriff auf Features zur Cluster- und Arbeitslastverwaltung in Google Cloud, einschließlich einer einheitlichen Benutzeroberfläche, Google Cloud Console, um mit Ihrem Cluster zu interagieren.

Wenn in Ihrem Netzwerk ausgehende Anfragen zugelassen sind, können Sie den Connect-Agent so konfigurieren, dass er NATs, Egress-Proxies und Firewalls durchläuft, um eine langlebige, verschlüsselte Verbindung zwischen dem Kubernetes API-Server Ihres Clusters und Ihrem Google Cloud Projekt herzustellen. Sobald diese Verbindung aktiviert ist, können Sie Ihre eigenen Anmeldedaten verwenden, um sich bei Ihren Clustern anzumelden und auf Details zu ihren Kubernetes-Ressourcen zuzugreifen. Auf diese Weise wird die UI, die sonst nur für GKE-Cluster verfügbar ist, repliziert.

Sobald die Verbindung hergestellt ist, kann die Connect Agent-Software Kontodaten, technische Details und Metadaten über die verbundene Infrastruktur und Arbeitslasten austauschen, die für die Verwaltung mit erforderlich sind Google Cloud, einschließlich der Details zu Ressourcen, Anwendungen und Hardware.

Diese Clusterdienstdaten sind mit Ihrem Google Cloud Projekt und Konto verknüpft. Google verwendet diese Daten, um eine Steuerungsebene zwischen Ihrem Cluster und Google Cloudaufrechtzuerhalten. So haben Sie Zugriff auf alle von Ihnen angeforderten Google Cloud Dienste und Funktionen, darunter Unterstützung sowie Support, Abrechnung, Updates und Messungen. und die Zuverlässigkeit, Qualität, Kapazität und Funktion von Connect- und Google Cloud Diensten verbessern, die über Connect verfügbar sind.

Sie behalten die Kontrolle darüber, welche Daten über GKE Connect gesendet werden: Ihr Kubernetes API-Server stellt die Authentifizierung, die Autorisierung und das Audit-Logging aller Anfragen über GKE Connect sicher. Google und Nutzer können über GKE Connect auf Daten oder APIs zugreifen, nachdem sie vom Clusteradministrator autorisiert wurden (z. B. über RBAC). Der Clusteradministrator kann diese Berechtigung widerrufen.

IAM-Rollen verbinden

Mithilfe der Identitäts- und Zugriffsverwaltung (IAM) können Nutzer, Gruppen und Dienstkonten auf Google Cloud APIs zugreifen und Aufgaben in Google Cloud Produkten ausführen.

Sie müssen bestimmte IAM Rollen angeben, um den Connect-Agent zu starten und über die Google Cloud Console oder das Google Cloud CLI mit Ihrem Cluster zu interagieren. Diese Rollen ermöglichen keinen direkten Zugriff auf verbundene Cluster. Weitere Informationen zum Anmelden in Clustern über die Google Cloud Console finden Sie unter Mit Clustern in der Google Cloud Console arbeiten.

Mit einigen dieser Rollen können Sie auf Informationen zu Clustern zugreifen, darunter:

  • Clusternamen
  • Öffentliche Schlüssel
  • IP-Adressen
  • Identitätsanbieter
  • Kubernetes-Versionen
  • Clustergröße
  • Andere Cluster-Metadaten

Connect verwendet die folgenden IAM-Rollen:

Rollenname Rollentitel Beschreibung Berechtigungen
roles/gkehub.editor GKE-Flottenbearbeiter Bietet Bearbeitungszugriff auf GKE-Hub-Ressourcen.

Berechtigungen für Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Berechtigungen für GKE-Flotte

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer GKE-Flottenbetrachter Bietet Lesezugriff auf GKE-Flotte und zugehörige Ressourcen.

Berechtigungen für Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Berechtigungen für GKE-Flotte

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect GKE-Connect-Agent Bietet die Möglichkeit, neue Verbindungen zwischen externen Clustern und Google herzustellen. gkehub.endpoints.connect

Ressourcennutzung und Anforderungen

In der Regel benötigt der Connect-Agent bei der Registrierung 500 CPU und 200 Mi Speicher. Die Verwendung hängt jedoch von der Anzahl der Anfragen, die pro Sekunde an den Agent gesendet werden, und von der Größe dieser Anfragen ab. Dies kann durch eine Reihe von Faktoren beeinflusst werden, darunter die Größe des Clusters, die Anzahl der Nutzer, die über die Google Cloud Console auf den Cluster zugreifen (je mehr Nutzer und/oder Arbeitslasten, desto mehr Anfragen) und die Anzahl der Flotten-aktivierten Funktionen im Cluster.