Fleet memungkinkan Anda mengelola fitur perusahaan dan fitur lain yang mendukung fleet di beberapa cluster secara bersamaan. Dengan demikian, Anda dapat, misalnya, menerapkan kumpulan kebijakan umum atau membuat mesh satu layanan di seluruh fleet cluster. Halaman ini memberikan ringkasan tentang cara mengelola fitur untuk fleet Anda. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan menggunakan setiap fitur, lihat dokumentasinya.
Jika telah mengaktifkan Google Kubernetes Engine, Anda dapat mengelola fitur di Google Cloud konsol. Semua pengguna fleet dapat mengelola fitur menggunakan command line.
Beberapa fitur memungkinkan Anda membuat konfigurasi fitur default tingkat fleet untuk cluster fleet. Misalnya, Anda dapat memastikan bahwa setiap cluster yang dibuat di fleet Anda telah menginstal dan mengonfigurasi Pengontrol Kebijakan.
Anda dapat mempelajari lebih lanjut cara kerja pengelolaan fitur tingkat fleet di cluster "di balik layar" di bagian Otorisasi fitur.
Fitur tingkat fleet
Anda dapat mengelola fitur berikut di tingkat fleet:
- Cloud Service Mesh Terkelola
- Postur keamanan
- Config Sync
- Pengontrol Kebijakan
- GKE Identity Service
- Multi Cluster Ingress
- Layanan Multi-cluster (khusus cluster GKE)
- Validasi berkelanjutan untuk Otorisasi Biner
Daftar ini tidak mencakup semua fitur yang menggunakan atau memerlukan fleet. Misalnya, Workload Identity Federation fleet bergantung pada cluster yang menjadi anggota fleet, tetapi tidak memerlukan konfigurasi di tingkat fleet, dan Cloud Service Mesh memerlukan keanggotaan fleet untuk semua opsi penyiapan dan bidang kontrol.
Anda dapat mengetahui informasi selengkapnya tentang fitur yang tersedia di lingkungan mana di halaman Opsi deployment.
Menyiapkan fitur tingkat fleet
Bagian berikut menjelaskan cara mengaktifkan dan mengonfigurasi fitur tingkat fleet.
Untuk menggunakan fitur tingkat fleet, dalam sebagian besar kasus, Anda mengaktifkan fitur untuk fleet dan mengonfigurasinya untuk anggota fleet. Beberapa konfigurasi (atau penyiapan tambahan lainnya) umumnya diperlukan untuk benar-benar menggunakan fitur dengan cluster dan workload Anda.
Anda dapat membuat konfigurasi cluster default fleet untuk beberapa fitur, yang berarti bahwa setiap cluster baru yang Anda buat di fleet akan dibuat dengan setelan yang Anda tentukan untuk fitur tersebut yang sudah dikonfigurasi.
Mengaktifkan fitur dengan default tingkat fleet
Anda dapat membuat setelan default tingkat fleet untuk cluster GKE untuk beberapa fitur. Setelah membuat setelan ini, setiap cluster GKE yang Anda daftarkan selama pembuatan cluster akan otomatis dikonfigurasi dengan konfigurasi tingkat fleet Anda. Jadi, misalnya, jika Anda menyiapkan default untuk Pengontrol Kebijakan, setiap cluster baru yang Anda buat di fleet akan menginstal Pengontrol Kebijakan versi yang Anda tentukan, dengan paket kebijakan dan setelan lain yang Anda tentukan. Setelan default fleet tidak otomatis diterapkan ke cluster anggota fleet yang ada, meskipun Anda dapat menyinkronkan cluster yang ada ke setelan default menggunakan Google Cloud konsol.
Proses umum untuk mengaktifkan fitur dengan default tingkat fleet adalah sebagai berikut:
Konsol
Di project host fleet, buka halaman Feature Manager:
Fitur yang mendukung konfigurasi default tingkat fleet menggunakan Google Cloud konsol tercantum di bagian Pengelolaan Fitur Tingkat Fleet.
Untuk fitur yang Anda pilih, klik Configure dan ikuti petunjuk untuk mengaktifkan dan mengonfigurasi default untuk fitur tersebut.
Opsional: Pilih dan sinkronkan cluster yang ada di fleet Anda ke setelan baru.
gcloud
- Buat file YAML yang menentukan default fleet yang Anda pilih untuk fitur tersebut.
Jalankan perintah
enableuntuk fitur tersebut, dengan meneruskan file konfigurasi Anda. Setiap fitur tingkat fleet memiliki perintahenablesendiri. Misalnya, untuk mengaktifkan Cloud Service Mesh untuk fleet Anda dengan konfigurasi default yang ditentukan dalammesh.yaml, jalankan perintah berikut di project host fleet Anda:gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
Atau, untuk beberapa fitur, Anda dapat menentukan default fleet menggunakan parameter ke perintah fleet create atau fleet update. Lihat panduan untuk fitur yang Anda pilih untuk mengetahui detail selengkapnya.
Terraform
Tentukan resource google_gke_hub_feature dengan blok fleet_default_member_config yang menentukan default fleet yang Anda pilih. Untuk mengetahui detail dan fitur fleet yang didukung, lihat dokumentasi Terraform.
Tidak semua fitur mendukung konfigurasi default fleet menggunakan semua opsi ini. Untuk mengetahui petunjuk mendetail tentang cara menyiapkan default fleet untuk setiap fitur yang didukung, lihat dokumentasi berikut:
- Cloud Service Mesh
- Config Sync
- Pengontrol Kebijakan
- Postur keamanan
- GKE Identity Service (khusus command line)
- Validasi berkelanjutan untuk Otorisasi Biner (pratinjau, khusus command line)
Mengaktifkan dan mengonfigurasi fitur fleet di setiap cluster
Sebagai alternatif untuk konfigurasi default fleet, Anda dapat memilih untuk mengonfigurasi fitur fleet secara terpisah di setiap cluster. Opsi ini mungkin cocok jika:
- Anda ingin mengonfigurasi cluster yang ada untuk menggunakan fitur.
- Anda ingin menggunakan layanan yang konfigurasi default fleet-nya tidak tersedia, atau tidak tersedia menggunakan alat yang Anda pilih.
Mengaktifkan fitur
Perhatikan bahwa langkah ini tidak diperlukan untuk semua fitur. Lihat panduan untuk fitur yang Anda pilih untuk mengetahui detail selengkapnya.
Konsol
Anda dapat mengaktifkan fitur dari halaman Feature Manager di Google Cloud konsol.
Untuk mengaktifkan fitur untuk fleet Anda:
Di project host fleet, buka halaman Feature Manager:
Fitur yang dapat diaktifkan tetapi tidak dapat dikonfigurasi dari halaman ini tercantum di bagian Manage other enterprise-ready features.
Klik Enable di panel untuk fitur yang ingin Anda aktifkan.
Klik tombol Enable... di panel detail yang ditampilkan.
gcloud
Setiap fitur tingkat fleet memiliki perintah enable sendiri. Misalnya, untuk mengaktifkan GKE Identity Service untuk fleet Anda, jalankan perintah berikut di project host fleet Anda:
gcloud container fleet identity-service enable
Lihat dokumentasi referensi Google Cloud SDK (dan dokumen setara beta dan alpha) untuk mengetahui daftar lengkap perintah, atau kumpulan dokumentasi fitur individual untuk mengetahui detail selengkapnya.
Untuk mempelajari cara memeriksa apakah fitur telah diaktifkan dan melihat status fitur lainnya, lihat Melihat status fitur fleet.
Mengonfigurasi setiap cluster
Langkah-langkah konfigurasi yang Anda ikuti bergantung pada fitur. Lihat panduan berikut untuk mengetahui informasi selengkapnya:
- Cloud Service Mesh
- Postur keamanan:
- Config Sync
- Pengontrol Kebijakan
- GKE Identity Service
- Multi Cluster Ingress
Melihat status fitur fleet
Cara termudah untuk melihat status fitur fleet adalah dengan menggunakan dasbor Feature Manager di Google Cloud konsol.
Untuk fitur yang didukung, halaman ini menampilkan jumlah cluster fleet yang memiliki status berikut:
- Fitur ini diaktifkan
- Fitur ini berhasil diaktifkan
- Memiliki peringatan untuk fitur ini
- Memiliki error untuk fitur ini
Anda juga dapat melihat apakah setelan default fleet telah dikonfigurasi untuk fitur tersebut, dan berapa banyak cluster anggota fleet yang memiliki setelan ini. Untuk fitur yang diaktifkan, Anda dapat mengklik halaman detail yang mencantumkan cluster yang menggunakan fitur tersebut, dan, jika dikonfigurasi, memungkinkan Anda memilih dan menyinkronkan cluster ke setelan default fleet.
Untuk fitur yang tidak dapat dikonfigurasi menggunakan halaman ini (tercantum di bagian Manage other enterprise-ready features), Anda dapat melihat apakah fitur telah diaktifkan untuk fleet Anda, dan melihat panel detail yang menunjukkan jumlah cluster yang menginstal fitur tersebut dan informasi relevan lainnya.
Melihat status fitur menggunakan gcloud
gcloud
Jalankan perintah berikut untuk mencantumkan semua fitur yang diaktifkan:
gcloud container fleet features list
Menonaktifkan fitur tingkat fleet
Untuk menonaktifkan fitur di tingkat fleet, lakukan hal berikut di project host fleet Anda.
Konsol
Hanya fitur fleet yang tercantum di bagian Manage other enterprise-ready features yang dapat dinonaktifkan dari Google Cloud konsol.
Di project host fleet, buka halaman Feature Manager:
Klik Details di panel untuk fitur yang ingin Anda nonaktifkan.
Klik tombol Disable... di panel detail yang ditampilkan.
gcloud
Setiap fitur tingkat fleet memiliki perintah disable sendiri. Misalnya, untuk menonaktifkan Cloud Service Mesh untuk fleet Anda, jalankan perintah berikut di project host fleet Anda:
gcloud container fleet mesh disable
Lihat dokumentasi referensi Google Cloud SDK (dan dokumen setara beta dan alpha) untuk mengetahui daftar lengkap perintah, atau kumpulan dokumentasi fitur individual untuk mengetahui detail selengkapnya.
Untuk mengetahui perilaku yang diharapkan setelah Anda menonaktifkan fitur untuk fleet Anda, lihat dokumentasi fitur yang relevan. Dalam banyak kasus, konfigurasi yang relevan masih ada di cluster Anda, tetapi Anda tidak lagi dapat mengelola fitur secara terpusat menggunakan perintah fleet atau Google Cloud konsol.
Otorisasi fitur
Untuk mengelola fitur di tingkat fleet, fitur tersebut harus diotorisasi melalui kontrol akses berbasis peran untuk menjalankan fungsinya di cluster. Google Cloud menggunakan layanan yang disebut Feature Authorizer yang otomatis menetapkan dan memperbarui izin untuk fitur yang mendukung fleet, sehingga Anda tidak perlu menetapkan izin fitur secara manual di setiap cluster, terutama saat Google merilis update fitur.
Saat Anda mendaftarkan cluster,
manifes yang diterapkan ke cluster berisi
ClusterRoleBinding
yang memberikan peran cluster-admin kepada Feature Authorizer di cluster,
dan peran tersebut dilampirkan ke akun layanan bernama
service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Saat Anda menonaktifkan fitur yang mendukung fleet di project Anda, Feature
Authorizer akan menghapus
ClusterRole dan ClusterRoleBinding yang sesuai untuk fitur tersebut, yang akan menghapus
kemampuan fitur untuk beroperasi di cluster.
Melihat Feature Authorizer di log audit
Untuk melihat aktivitas Feature Authorizer di log audit GKE audit:
Buka Logs Explorer di Google Cloud konsol.
Jalankan kueri lanjutan berikut:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Ganti kode berikut:
CLUSTER_NAME: nama cluster yang lognya ingin Anda lihat.CLUSTER_LOCATION: lokasi tempat cluster dibuat. Google CloudPROJECT_NUMBER: nomor project untuk Google Cloud project yang memiliki cluster.
Untuk cluster non-GKE, cari tahu tempat log audit Kubernetes disimpan, lalu jalankan kueri serupa.