Saat Anda mendaftarkan cluster di luar Google Cloud ke fleet, Google Cloud menggunakan Deployment yang disebut Connect Agent untuk membuat koneksi antara cluster dan project Google Cloud Anda, serta untuk menangani permintaan Kubernetes. Agen Connect tidak diperlukan untuk membuat koneksi bagi cluster GKE yang berjalan di Google Cloud.
Hal ini memungkinkan akses ke cluster dan fitur pengelolaan workload di Google Cloud, termasuk antarmuka pengguna terpadu, konsol, untuk berinteraksi dengan cluster Anda.Google Cloud
Jika jaringan Anda dikonfigurasi untuk mengizinkan permintaan keluar, Anda dapat mengonfigurasi Agen Connect untuk melintasi NAT, proxy keluar, dan firewall untuk membuat koneksi terenkripsi yang tahan lama antara server API Kubernetes cluster Anda dan project Google Cloud Anda. Setelah koneksi ini diaktifkan, Anda dapat menggunakan kredensial Anda sendiri untuk login kembali ke cluster dan mengakses detail tentang resource Kubernetes-nya. Hal ini secara efektif mereplikasi pengalaman UI yang hanya tersedia untuk cluster GKE.
Setelah koneksi dibuat, software Connect Agent dapat bertukar kredensial akun, detail teknis, dan metadata tentang infrastruktur dan workload yang terhubung yang diperlukan untuk mengelolanya dengan Google Cloud, termasuk detail resource, aplikasi, dan hardware.
Data layanan cluster ini dikaitkan dengan Google Cloud project dan akun Anda. Google menggunakan data ini untuk mempertahankan bidang kontrol antara cluster dan Google CloudAnda, untuk memberi Anda layanan dan fitur yang Anda minta, termasuk memfasilitasi dukungan, penagihan, memberikan info terbaru, serta mengukur dan meningkatkan keandalan, kualitas, kapasitas, dan fungsi Connect serta layanan Google Cloud yang tersedia melalui Connect. Google Cloud
Anda tetap memegang kontrol atas data yang dikirim melalui Connect: server API Kubernetes Anda melakukan autentikasi, otorisasi, dan pencatatan audit pada semua permintaan melalui Connect. Google dan pengguna dapat mengakses data atau API melalui Connect setelah mereka diotorisasi oleh administrator cluster (misalnya, melalui RBAC); administrator cluster dapat mencabut otorisasi tersebut.
Menghubungkan peran IAM
Identity and Access Management (IAM) memungkinkan pengguna, grup, dan akun layanan mengakses Google Cloud API dan melakukan tugas dalam Google Cloud produk.
Anda harus memberikan peran IAM tertentu untuk meluncurkan Connect Agent dan berinteraksi dengan cluster menggunakan konsol Google Cloud atau Google Cloud CLI. Peran ini tidak mengizinkan akses langsung ke cluster yang terhubung. Anda dapat mempelajari lebih lanjut cara login ke cluster dari konsol Google Cloud di Bekerja dengan cluster dari konsol Google Cloud .
Beberapa peran ini memungkinkan Anda mengakses informasi tentang cluster, termasuk:
- Nama cluster
- Kunci publik
- Alamat IP
- Penyedia identitas
- Versi Kubernetes
- Ukuran cluster
- Metadata cluster lainnya
Connect menggunakan peran IAM berikut:
| Nama peran | Jabatan Peran | Deskripsi | Izin |
|---|---|---|---|
roles/gkehub.editor |
Editor Hub | Memberikan akses edit ke resource GKE Hub. |
Izin untuk Google Cloud
Izin untuk Hub
|
roles/gkehub.viewer |
Hub Viewer | Memberikan akses hanya baca ke Hub dan resource terkait. |
Izin untuk Google Cloud
Izin untuk Hub
|
roles/gkehub.connect |
GKE Connect Agent | Memberikan kemampuan untuk membuat koneksi baru antara cluster eksternal dan Google. | gkehub.endpoints.connect |
Penggunaan dan persyaratan resource
Biasanya, agen Connect yang diinstal saat pendaftaran menggunakan CPU 500 m dan memori 200 Mi. Namun, penggunaan ini dapat bervariasi bergantung pada jumlah permintaan yang dibuat ke agen per detik, dan ukuran permintaan tersebut. Hal ini dapat dipengaruhi oleh sejumlah faktor, termasuk ukuran cluster, jumlah pengguna yang mengakses cluster melalui Google Cloud konsol (semakin banyak pengguna dan/atau beban kerja, semakin banyak permintaan), dan jumlah fitur yang kompatibel dengan fleet di cluster.