Panoramica dell'agente Connect

Quando registri un cluster esterno Google Cloud nel tuo parco risorse, Google Cloud utilizza un deployment chiamato agente Connect per stabilire una connessione tra il cluster e il tuo progetto Google Cloud e per gestire le richieste Kubernetes. L'agente Connect non è necessario per stabilire una connessione per i cluster GKE in esecuzione in Google Cloud.

Ciò consente l'accesso al cluster e alle funzionalità di gestione dei carichi di lavoro in Google Cloud, inclusa un'interfaccia utente unificata, la Google Cloud console, per interagire con il cluster.

Se la tua rete è configurata per consentire le richieste in uscita, puoi configurare Connect Agent per attraversare NAT, proxy di uscita e firewall per stabilire una connessione criptata di lunga durata tra il server API Kubernetes del cluster e il tuo progetto Google Cloud . Una volta attivata questa connessione, puoi utilizzare le tue credenziali per accedere di nuovo ai cluster e visualizzare i dettagli delle relative risorse Kubernetes. In questo modo viene replicata l'esperienza della UI che altrimenti è disponibile solo per i cluster GKE.

Una volta stabilita la connessione, il software Connect Agent può scambiare credenziali dell'account, dettagli tecnici e metadati sull'infrastruttura e sui carichi di lavoro connessi necessari per gestirli con Google Cloud, inclusi i dettagli di risorse, applicazioni e hardware.

Questi dati del servizio cluster sono associati al tuo progetto e al tuo account Google Cloud . Google utilizza questi dati per gestire un control plane tra il tuo cluster e Google Cloud, per fornirti i servizi e le funzionalità che richiedi, tra cui facilitare l'assistenza, la fatturazione e gli aggiornamenti, nonché per misurare e migliorare l'affidabilità, la qualità, la capacità e la funzionalità di Connect e dei servizi Google Cloud disponibili tramite Connect. Google Cloud

Hai il controllo dei dati inviati tramite Connect: il server API Kubernetes esegue l'autenticazione, l'autorizzazione e la registrazione degli audit su tutte le richieste tramite Connect. Google e gli utenti possono accedere ai dati o alle API tramite Connect dopo essere stati autorizzati dall'amministratore del cluster (ad esempio tramite RBAC); l'amministratore del cluster può revocare l'autorizzazione.

Connetti i ruoli IAM

Identity and Access Management (IAM) consente a utenti, gruppi e service account di accedere alle API Google Cloud ed eseguire attività all'interno dei prodottiGoogle Cloud .

Per avviare Connect Agent e interagire con il cluster utilizzando la console Google Cloud o Google Cloud CLI, devi fornire ruoli IAM specifici. Questi ruoli non consentono l'accesso diretto ai cluster connessi. Puoi scoprire di più sull'accesso ai cluster dalla console Google Cloud in Utilizzo dei cluster dalla console Google Cloud .

Alcuni di questi ruoli ti consentono di accedere alle informazioni sui cluster, tra cui:

  • Nomi dei cluster
  • Chiavi pubbliche
  • Indirizzi IP
  • Provider di identità
  • Versioni di Kubernetes
  • Dimensione cluster
  • Altri metadati del cluster

Connect utilizza i seguenti ruoli IAM:

Nome ruolo Titolo del ruolo Descrizione Autorizzazioni
roles/gkehub.editor Editor Hub Fornisce l'accesso in modifica alle risorse GKE Hub.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per l'hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer Hub Viewer Fornisci l'accesso di sola lettura a Hub e alle risorse correlate.

Autorizzazioni per Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Autorizzazioni per l'hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect GKE Connect Agent Consente di stabilire nuove connessioni tra cluster esterni e Google. gkehub.endpoints.connect

Utilizzo e requisiti delle risorse

In genere, l'agente Connect installato al momento della registrazione utilizza 500 m di CPU e 200 Mi di memoria. Tuttavia, questo utilizzo può variare a seconda del numero di richieste effettuate all'agente al secondo e delle dimensioni di queste richieste. Questi possono essere influenzati da una serie di fattori, tra cui le dimensioni del cluster, il numero di utenti che accedono al cluster tramite la console Google Cloud (più utenti e/o carichi di lavoro, più richieste) e il numero di funzionalità abilitate per il parco veicoli sul cluster.