Visão geral do agente do Connect

Quando você registra um cluster fora do Google Cloud na sua frota, o Google Cloud usa uma implantação chamada de agente do Connect para estabelecer uma conexão entre o cluster e o projeto do Google Cloud e processar solicitações do Kubernetes. O agente do Connect não é necessário para estabelecer uma conexão com clusters do GKE em execução no Google Cloud.

Isso permite acesso ao cluster e aos recursos de gerenciamento de carga de trabalho no Google Cloud, incluindo uma interface de usuário unificada, o console doGoogle Cloud , para interagir com o cluster.

Se a rede estiver configurada para permitir solicitações de saída, será possível configurar o agente do Connect para transferir NATs, proxies de saída e firewalls, estabelecendo uma conexão criptografada de longa duração entre o servidor da API Kubernetes do cluster e o projeto do Google Cloud . Quando a conexão estiver ativa, será possível usar suas próprias credenciais para fazer login novamente nos clusters e acessar detalhes sobre os recursos do Kubernetes. Isso realmente replicará a experiência da IU que está disponível apenas para clusters do GKE.

Depois que a conexão é estabelecida, o software Connect Agent pode trocar credenciais de conta, detalhes técnicos e metadados sobre a infraestrutura e as cargas de trabalho conectadas necessárias para gerenciá-las com o Google Cloud, incluindo detalhes de recursos, aplicativos e hardware.

Esses dados do serviço de cluster estão associados ao seu projeto Google Cloud e conta. O Google usa esses dados para manter um plano de controle entre seu cluster e o Google Cloud, fornecer os serviços e recursos do Google Cloudque você solicitar, incluindo facilitar o suporte e o faturamento, fornecer atualizações e medir e melhorar a confiabilidade, a qualidade, a capacidade e a funcionalidade do Connect e dos serviços do Google Cloud disponíveis pelo Connect.

Você mantém o controle sobre os dados enviados por meio do Connect: o servidor da API Kubernetes realiza a autenticação, a autorização e a geração de registros de auditoria em todas as solicitações via Connect. Para acessar dados ou APIs por meio do Connect, o Google e os usuários precisam ser autorizados pelo administrador do cluster. Por exemplo, via RBAC. O administrador pode revogar essa autorização.

Conectar papéis do IAM

O gerenciamento de identidade e acesso (IAM, na sigla em inglês) permite que usuários, grupos e contas de serviço acessem as APIs do Google Cloud e executem tarefas nos produtos doGoogle Cloud .

Você precisa fornecer papéis específicos do IAM para iniciar o Connect Agent e interagir com o cluster usando o console do Google Cloud ou a Google Cloud CLI. Esses papéis não permitem acesso direto a clusters conectados. Saiba como fazer login em clusters do console Google Cloud em Como trabalhar com clusters do console Google Cloud .

Com alguns destes papéis, é possível acessar informações sobre clusters, incluindo:

  • Nomes do cluster
  • Chaves públicas
  • Endereços IP
  • Provedores de identidade
  • versões do Kubernetes;
  • tamanho do cluster
  • Outros metadados de clusters.

O Connect usa os papéis do IAM a seguir:

Nome da função Título do papel Descrição Permissões
roles/gkehub.editor Editor do hub Fornecer acesso de edição aos recursos do Hub GKE.

Permissões para Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permissões para o Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.create
  • gkehub.memberships.update
  • gkehub.memberships.delete
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.operations.cancel
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.create
  • gkehub.features.update
  • gkehub.features.delete
  • gkehub.features.getIamPolicy
  • gkehub.fleet.*
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
  • gkehub.membershipfeatures.create
  • gkehub.membershipfeatures.update
  • gkehub.membershipfeatures.delete
roles/gkehub.viewer Leitor do Hub Fornece acesso somente leitura ao Hub e aos recursos relacionados.

Permissões para Google Cloud

  • resourcemanager.projects.get
  • resourcemanager.projects.list

Permissões para o Hub

  • gkehub.memberships.list
  • gkehub.memberships.get
  • gkehub.memberships.generateConnectManifest
  • gkehub.memberships.getIamPolicy
  • gkehub.locations.list
  • gkehub.locations.get
  • gkehub.operations.list
  • gkehub.operations.get
  • gkehub.features.list
  • gkehub.features.get
  • gkehub.features.getIamPolicy
  • gkehub.membershipfeatures.list
  • gkehub.membershipfeatures.get
roles/gkehub.connect Agente do GKE Connect Fornece a capacidade de estabelecer novas conexões entre clusters externos e o Google. gkehub.endpoints.connect

Uso de recursos e requisitos

Normalmente, o agente do Connect instalado no registro usa 500 m de CPU e 200 Mi de memória. No entanto, esse uso pode variar dependendo do número de solicitações feitas ao agente por segundo e do tamanho dessas solicitações. Isso pode ser afetado por vários fatores, incluindo o tamanho do cluster, o número de usuários que acessam o cluster pelo Google Cloud console (quanto mais usuários e/ou cargas de trabalho, mais solicitações) e o número de recursos ativados pelo ambiente no cluster.