Features auf Flottenebene verwalten

Mit Flotten können Sie Unternehmens- und andere flottenfähige Features über mehrere Cluster gleichzeitig verwalten. Auf diese Weise können Sie beispielsweise einen gemeinsamen Satz von Richtlinien anwenden oder ein einzelnes Service Mesh auf Ihrem gesamten Clusterpool erstellen. Auf dieser Seite erhalten Sie einen Überblick darüber, wie Sie Features für Ihren Gerätepool verwalten können. Weitere Informationen zum Konfigurieren und Verwenden einzelner Funktionen finden Sie in der jeweiligen Dokumentation.

Wenn Sie Google Kubernetes Engine aktiviert haben, können Sie Funktionen in der Google Cloud Console verwalten. Alle Nutzer der Flotte können Features über die Befehlszeile verwalten.

Mit einigen Features können Sie eine Standardkonfiguration der Flottenfunktion für Ihre Flottencluster erstellen. Sie können beispielsweise dafür sorgen, dass für jeden Cluster, den Sie in Ihrer Flotte erstellen, Policy Controller installiert und konfiguriert ist.

Weitere Informationen über die Funktionsweise der Funktionsverwaltung auf Flottenebene in Ihren Clustern finden Sie unter dem Abschnitt Funktionsautorisierung.

Funktionen auf Flottenebene

Sie können die folgenden Funktionen auf Flottenebene verwalten:

Diese Liste enthält nicht alle Features, die Flotten verwenden oder erfordern. Beispiel: Die Workload Identity der Flotte basiert auf Clustern, die Mitglieder einer Flotte sind, aber keine Konfiguration auf Flottenebene erfordert. Cloud Service Mesh erfordert eine Flottenmitgliedschaft für alle Steuerungsebenen- und Einrichtungsoptionen.

Auf der Seite Deployment-Optionen können Sie sehen, welche Features in welchen Umgebungen verfügbar sind.

Features auf Flottenebene einrichten

In den folgenden Abschnitten wird beschrieben, wie Sie Features auf Flottenebene aktivieren und konfigurieren können.

Wenn Sie ein Feature auf Flottenebene verwenden möchten, aktivieren Sie das Feature in den meisten Fällen für Ihre Flotte und aktivieren Sie es für Ihre Flottenmitglieder. Einige Konfigurationen (oder andere zusätzliche Konfigurationen) sind im Allgemeinen erforderlich, um das Feature tatsächlich mit Ihren Clustern und Arbeitslasten zu verwenden.

Sie können für einige Funktionen auch Standard-Clusterkonfigurationen für Flotten erstellen, d. h. dass sämtliche neuen Cluster, die Sie in Ihrer Flotte erstellen, mit Ihren angegebenen Einstellungen für jenes Feature vorkonfiguriert werden.

Features mit Standardeinstellungen auf Flottenebene aktivieren

Sie können für einige Funktionen Standardeinstellungen auf Flottenebene für Ihre GKE-Cluster erstellen. Nachdem Sie diese Einstellungen erstellt haben, werden alle GKE-Cluster die Sie während der Clustererstellung registrieren automatisch mit den Konfigurationen auf Flottenebene konfiguriert. Wenn Sie beispielsweise Standardeinstellungen für Policy Controller einrichten, hat jeder neue Cluster, den Sie in Ihrer Flotte erstellen, die von Ihnen angegebene Version von Policy Controller installiert und zwar mit der von Ihnen angegebenen Richtlinie-Bundles und anderen Einstellungen. Standardeinstellungen für Flotten werden nicht automatisch auf vorhandene Flottenmitglieder-Cluster angewendet. Sie können jedoch vorhandene Cluster mit Ihren Standardeinstellungen synchronisieren, indem Sie die Google Cloud Console verwenden.

So aktivieren Sie Funktionen mit Standardeinstellungen auf Flottenebene:

Console

  1. Rufen Sie in Ihrem Flotten-Hostprojekt die Seite Feature Manager auf:

    Zu Feature Manager

    Die Features, die die Konfiguration von Standardeinstellungen auf Flottenebene über die Google Cloud -Konsole unterstützen, sind unter Feature-Verwaltung auf Flottenebene aufgeführt.

  2. Klicken Sie für die ausgewählte Funktion auf Konfigurieren und folgen Sie der Anleitung, um die Funktion zu aktivieren und Standardeinstellungen dafür zu konfigurieren.

  3. Optional: Wählen Sie vorhandene Cluster in Ihrer Flotte aus und synchronisieren Sie sie mit den neuen Einstellungen.

gcloud

  1. Erstellen Sie eine YAML-Datei, in der Sie die ausgewählten Flottenstandardeinstellungen für das Feature angeben.

  2. Führen Sie den Befehl enable für die Funktion aus und übergeben Sie die Konfigurationsdatei. Jedes Feature auf Flottenebene hat einen eigenen enable-Befehl. Wenn Sie beispielsweise Cloud Service Mesh für Ihre Flotte mit der in mesh.yaml angegebenen Standardkonfiguration aktivieren möchten, führen Sie den folgenden Befehl in Ihrem Flotten-Hostprojekt aus:

    gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml

Alternativ können Sie für einige Funktionen Flottenstandardwerte mit Parametern für den Befehl fleet create oder fleet update angeben. Weitere Informationen finden Sie im Leitfaden für das ausgewählte Feature.

Terraform

Definieren Sie eine google_gke_hub_feature-Ressource mit einem fleet_default_member_config-Block, in dem die von Ihnen ausgewählten Flottenstandardeinstellungen angegeben werden. Weitere Informationen und unterstützte Flottenfunktionen finden Sie in der Terraform-Dokumentation.

Nicht alle Funktionen unterstützen die Standardkonfiguration der Flotte mit allen diesen Optionen. Eine detaillierte Anleitung zum Einrichten von Flottendefaults für die einzelnen unterstützten Funktionen finden Sie in der folgenden Dokumentation:

Flottenfeatures für einzelne Cluster aktivieren und konfigurieren

Alternativ zur Standardkonfiguration der Flotte können Sie Flottenfeatures für einzelne Cluster separat konfigurieren. Das ist möglicherweise eine gute Option, wenn:

  • Sie möchten einen vorhandenen Cluster für die Verwendung eines Features konfigurieren.
  • Sie möchten Dienste verwenden, für die die Standardkonfiguration der Flotte nicht oder nicht mit dem von Ihnen ausgewählten Tool verfügbar ist.

Features aktivieren

Dieser Schritt ist nicht für alle Funktionen erforderlich. Weitere Informationen finden Sie im Leitfaden für das ausgewählte Feature.

Console

Sie können Features auf der Seite Feature Manager in der Google Cloud Console aktivieren.

So aktivieren Sie ein Feature für Ihre Flotte:

  1. Rufen Sie in Ihrem Flotten-Hostprojekt die Seite Feature Manager auf:

    Zu Feature Manager

    Funktionen, die aktiviert, aber nicht über diese Seite konfiguriert werden können, sind unter Andere auf Unternehmen ausgelegte Funktionen verwalten aufgeführt.

  2. Klicken Sie im Bereich für das Feature, das Sie aktivieren möchten, auf AKTIVIEREN.

  3. Klicken Sie im angezeigten Detailbereich auf die Schaltfläche Aktivieren....

gcloud

Jedes Feature auf Flottenebene hat einen eigenen enable-Befehl. Beispiel: Um den GKE Identity Service für Ihre Flotte zu aktivieren, führen Sie den folgenden Befehl in der Flotten-Hostprojekt aus:

gcloud container fleet identity-service enable

Eine vollständige Liste der Befehle finden Sie in der Referenzdokumentation zum Google Cloud SDK (und den entsprechenden Beta- und Alpha-Versionen). Weitere Einzelheiten finden Sie in den Dokumentationen der einzelnen Funktionen.

Informationen dazu, wie Sie prüfen können, ob eine Funktion bereits aktiviert wurde, und wie Sie andere Funktionsstatus ansehen, finden Sie unter Funktionsstatus für Flotten aufrufen.

Einzelne Cluster konfigurieren

Die Konfigurationsschritte, die Sie als Nächstes ausführen, hängen vom Feature ab. Weitere Informationen finden Sie in den folgenden Leitfäden:

Status der Flottenfunktion anzeigen

Am einfachsten können Sie den Status von Flottenfunktionen über das Feature Manager-Dashboard in der Google Cloud Console aufrufen.

Zu Feature Manager

Für unterstützte Funktionen wird auf dieser Seite angezeigt, wie viele Ihrer Flottencluster den folgenden Status haben:

  • Dieses Feature ist aktiviert
  • Dieses Feature wurde erfolgreich aktiviert
  • Haben eine Warnung für diese Funktion
  • Haben einen Fehler für diese Funktion

Sie können auch sehen, ob Standardeinstellungen für Flotten für das Feature konfiguriert wurden und wie viele Flottenmitgliedscluster diese Einstellungen haben. Bei aktivierten Features können Sie auf eine Detailseite klicken, auf der die Cluster aufgeführt sind, die das Feature verwenden. Wenn die Synchronisierung konfiguriert ist, können Sie Cluster auswählen und mit den Standardeinstellungen Ihrer Flotte synchronisieren.

Bei Features, die nicht über diese Seite konfiguriert werden können (die unter Andere für Unternehmen geeignete Funktionen verwalten aufgeführt sind) können Sie sehen, ob das Feature für Ihren Gerätepool aktiviert wurde. Außerdem sehen Sie einen Detailbereich, der zeigt, auf wie vielen Clustern das Feature installiert ist und andere relevante Informationen.

Funktionsstatus mit gcloud ansehen

gcloud

Führen Sie den folgenden Befehl aus, um alle aktivierten Features aufzulisten:

gcloud container fleet features list

Feature auf Flottenebene deaktivieren

So deaktivieren Sie ein Feature auf Flottenebene in Ihrem Flotten-Hostprojekt:

Console

Nur die Flottenfunktionen, die unter Andere auf Unternehmen ausgelegte Funktionen verwalten aufgeführt sind, können über die Google Cloud -Konsole deaktiviert werden.

  1. Rufen Sie in Ihrem Flotten-Hostprojekt die Seite Feature Manager auf:

    Zu Feature Manager

  2. Klicken Sie im Bereich für das Feature, das Sie deaktivieren möchten, auf Details.

  3. Klicken Sie im angezeigten Detailbereich auf die Schaltfläche Deaktivieren....

gcloud

Jedes Feature auf Flottenebene hat einen eigenen disable-Befehl. Führen Sie beispielsweise den folgenden Befehl in Ihrem Flotten-Host-Projekt aus, um Cloud Service Mesh für Ihre Flotte zu deaktivieren:

gcloud container fleet mesh disable

Eine vollständige Liste der Befehle finden Sie in der Referenzdokumentation zum Google Cloud SDK (und den entsprechenden Beta- und Alpha-Versionen). Weitere Einzelheiten finden Sie in den Dokumentationen der einzelnen Funktionen.

Das erwartete Verhalten nach dem Deaktivieren eines Features für Ihre Flotte finden Sie in der entsprechenden Feature-Dokumentation. In vielen Fällen ist die relevante Konfiguration auf Ihrem Cluster noch vorhanden, aber Sie können die Funktion nicht mehr zentral über Flottenbefehle oder die Google Cloud -Konsole verwalten.

Autorisierung von Features

Um Funktionen auf Flottenebene zu verwalten, müssen sie durch eine rollenbasierte Zugriffssteuerung autorisiert werden, um ihre Funktionen auf Clustern auszuführen. Google Cloudverwendet einen Dienst namens Feature-Autorisierer, der automatisch die Berechtigungen für flottenaktivierte Funktionen festlegt und aktualisiert. So müssen Sie die Berechtigungen für die Funktionen nicht für jeden Cluster manuell festlegen, insbesondere wenn Google Aktualisierungen der Funktionen veröffentlicht.

Wenn SieCluster registrieren enthält das auf den Cluster angewendete Manifest einClusterRoleBinding, mit der dem Feature Authorizer einecluster-admin-Rolle im Cluster zugewiesen wird. Diese Rolle ist mit einem Dienstkonto namens service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com verbunden, um die Option zu aktivieren.

Wenn Sie ein Feature mit flottenfähiger Funktion in Ihrem Projekt deaktivieren, löscht die Autorisierer die entsprechenden ClusterRole und ClusterRoleBinding für das Feature, wodurch die Funktion für den Cluster nicht mehr funktioniert.

Feature-Autorisierer in Audit-Logs anzeigen

So rufen Sie die Funktion "Autorisierter Nutzer" in den Audit-Logs von GKE auf:

  1. Öffnen Sie den Log-Explorer in der Google Cloud -Console.

    Zur Seite "Logs"

  2. Führen Sie die folgende erweiterte Abfrage aus:

    resource.type="k8s_cluster"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.location="CLUSTER_LOCATION"
protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa"
protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"

    Ersetzen Sie Folgendes:

    • CLUSTER_NAME: Der Name des Clusters, für den Sie die Logs aufrufen möchten.
    • CLUSTER_LOCATION: Der Google Cloud Standort, an dem der Cluster erstellt wurde.
    • PROJECT_NUMBER: Die Google Cloud Projektnummer des Projekts, zu dem der Cluster gehört.

Ermitteln Sie für Nicht-GKE-Cluster, wo die Kubernetes-Audit-Logs gespeichert sind, und führen Sie eine ähnliche Abfrage aus.