Menyiapkan gateway Connect

Panduan ini ditujukan bagi administrator platform yang perlu menyiapkan gateway Connect untuk digunakan oleh pengguna dan akun layanan project mereka. Penyiapan ini memungkinkan pengguna:

  • Gunakan konsol Google Cloud untuk login ke cluster terdaftar di luar Google Cloud dengan identitas Google Cloud -nya.

  • Gunakan kubectl untuk mengakses cluster melalui gateway Connect.

Penyiapan ini hanya memungkinkan autentikasi pengguna dan layanan berdasarkan ID individu mereka, bukan keanggotaan mereka di Google Grup. Untuk menyiapkan dukungan grup tambahan, lihat Menyiapkan gateway Connect dengan Google Grup.

Jika Anda tidak terbiasa dengan gateway Connect, lihat ringkasan kami untuk mendapatkan penjelasan tentang konsep dasar dan cara kerjanya.

Sebelum memulai

  1. Pastikan Anda telah menginstal alat command line berikut:

    • Google Cloud CLI versi terbaru, yaitu alat command line untuk berinteraksi dengan Google Cloud.
    • kubectl untuk menjalankan perintah terhadap cluster Kubernetes. Jika Anda perlu menginstal kubectl, ikuti petunjuk berikut

    Jika Anda menggunakan Cloud Shell sebagai lingkungan shell untuk berinteraksi dengan Google Cloud, alat ini akan diinstal untuk Anda.

  2. Lakukan inisialisasi gcloud CLI untuk digunakan dengan project Anda, atau jalankan perintah berikut untuk memberikan otorisasi ke gcloud CLI dan menetapkan project Anda sebagai default:

    gcloud auth login
gcloud config set project PROJECT_ID

Peran IAM yang diperlukan untuk penyiapan

Panduan ini mengasumsikan bahwa Anda memiliki izin roles/owner dalam project. Jika Anda bukan pemilik project, minta pemilik project untuk memberi Anda izin tambahan pada project sehingga Anda dapat melakukan tugas berikut:

  • Untuk mengaktifkan API, Anda memerlukan izin serviceusage.services.enable, yang disertakan dalam peran Admin Penggunaan Layanan (roles/serviceusage.serviceUsageAdmin). Pemilik project dapat membuat peran kustom dengan mengaktifkan izin serviceusage.services.enable, atau memberi Anda roles/serviceusage.serviceUsageAdmin, sebagai berikut:

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member user:USER_EMAIL_ADDRESS \
   --role='roles/serviceusage.serviceUsageAdmin'

  • Untuk memberikan izin IAM kepada pengguna dan akun layanan agar mereka dapat menggunakan gateway Connect, Anda memerlukan peran Project IAM Admin (roles/resourcemanager.projectIamAdmin), yang dapat diberikan oleh pemilik project dengan perintah berikut:

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member user:USER_EMAIL_ADDRESS \
   --role='roles/resourcemanager.projectIamAdmin'

Mengaktifkan API

Untuk menambahkan gateway ke project Anda, aktifkan API gateway Connect dan API dependensi yang diperlukan. Jika pengguna hanya ingin mengautentikasi ke cluster menggunakan konsol Google Cloud , Anda tidak perlu mengaktifkan connectgateway.googleapis.com, tetapi Anda perlu mengaktifkan API lainnya.

gcloud services enable --project=PROJECT_ID  \
    connectgateway.googleapis.com \
    anthos.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    cloudresourcemanager.googleapis.com

Memverifikasi cluster terdaftar

Hanya cluster yang terdaftar ke fleet project Anda yang dapat diakses melalui gateway Connect. Cluster GKE di infrastruktur lokal dan di cloud publik lainnya akan otomatis terdaftar saat dibuat. Namun, cluster GKE di Google Cloud dan cluster terlampir harus didaftarkan secara terpisah. Jika Anda perlu mendaftarkan cluster, ikuti petunjuk di panduan pendaftaran cluster kami. Perhatikan bahwa cluster GKE harus terdaftar ke fleet untuk menggunakan gateway.

Untuk memverifikasi bahwa cluster telah terdaftar, jalankan perintah berikut:

gcloud container fleet memberships list

Anda akan melihat daftar semua cluster terdaftar, seperti dalam contoh output ini:

NAME         EXTERNAL_ID
cluster-1    0192893d-ee0d-11e9-9c03-42010a8001c1
cluster-2    f0e2ea35-ee0c-11e9-be79-42010a8400c2

Memberikan peran IAM kepada pengguna

Akses ke cluster dikontrol oleh Identity and Access Management (IAM). Peran IAM yang diperlukan untuk mengakses cluster menggunakan kubectl sedikit berbeda dari peran untuk mengakses cluster di konsol Google Cloud , seperti yang dijelaskan di bagian berikut.

Memberikan peran untuk akses melalui kubectl

Minimal, pengguna dan akun layanan memerlukan peran IAM berikut untuk menggunakan kubectl guna berinteraksi dengan cluster melalui gateway Connect, kecuali jika pengguna memiliki roles/owner dalam project:

  • roles/gkehub.gatewayAdmin: Peran ini memungkinkan pengguna mengakses API gateway Connect untuk menggunakan kubectl guna mengelola cluster. Peran ini mencakup izin gkehub.gateway.stream, yang memungkinkan pengguna menjalankan perintah attach, cp, dan exec kubectl. Untuk persyaratan tambahan guna menjalankan perintah tersebut, lihat Dukungan pratinjau untuk perintah.

    • Jika pengguna hanya memerlukan akses baca saja ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayReader.

    • Jika pengguna memerlukan akses baca / tulis ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayEditor.

  • roles/gkehub.viewer: Peran ini memungkinkan pengguna mengambil cluster kubeconfigs.

Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran GKE Hub dalam dokumentasi IAM.

Anda dapat menggunakan perintah berikut untuk memberikan peran ini:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=GATEWAY_ROLE
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/gkehub.viewer

dengan:

  • MEMBER adalah pengguna atau akun layanan, yang menggunakan format user|serviceAccount:emailID, misalnya:

    • user:alice@example.com
    • serviceAccount:test_sa@example-project.iam.gserviceaccount.com

  • GATEWAY_ROLE adalah roles/gkehub.gatewayAdmin, roles/gkehub.gatewayReader, atau roles/gkehub.gatewayEditor.

Anda dapat mengetahui lebih lanjut cara memberikan izin dan peran IAM di Memberikan, mengubah, dan mencabut akses ke resource.

Memberikan peran untuk akses melalui Google Cloud konsol

Pengguna yang ingin berinteraksi dengan cluster di luar Google Cloud menggunakan Google Cloud konsol setidaknya memerlukan peran IAM berikut untuk melihat cluster:

  • roles/container.viewer. Peran ini memungkinkan pengguna melihat halaman Cluster GKE dan resource penampung lainnya di konsol Google Cloud . Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran Kubernetes Engine dalam dokumentasi IAM.

  • roles/gkehub.viewer. Peran ini memungkinkan pengguna melihat cluster di luarGoogle Cloud di konsol Google Cloud . Perhatikan bahwa ini adalah salah satu peran yang diperlukan untuk akses kubectl. Jika sudah memberikan peran ini kepada pengguna, Anda tidak perlu memberikannya lagi. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat peran GKE Hub dalam dokumentasi IAM.

    Dalam perintah berikut, ganti PROJECT_ID dengan project ID untuk project host fleet. Selain itu, ganti MEMBER dengan alamat email atau akun layanan pengguna menggunakan format user|serviceAccount:emailID, misalnya:

    • user:alice@example.com
    • serviceAccount:test_sa@example-project.iam.gserviceaccount.com
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/container.viewer
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER \
    --role=roles/gkehub.viewer

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran IAM, lihat Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.

Mengonfigurasi otorisasi RBAC

Server Kubernetes API setiap cluster harus dapat memberikan otorisasi permintaan yang berasal dari Google Cloud konsol atau dari perintah kubectl yang berasal melalui gateway Connect dari akun pengguna dan layanan yang Anda tentukan. Untuk memastikannya, Anda perlu memperbarui kebijakan kontrol akses berbasis peran (RBAC) di setiap cluster yang ingin Anda buat dapat diakses melalui gateway. Anda perlu menambahkan atau memperbarui kebijakan berikut:

  • Kebijakan peniruan identitas yang memberikan otorisasi kepada agen Connect untuk mengirim permintaan ke server Kubernetes API atas nama pengguna.
  • Kebijakan izin yang menentukan izin yang dimiliki pengguna di cluster. Ini dapat berupa peran tingkat cluster seperti clusterrole/cluster-admin atau clusterrole/cloud-console-reader, atau peran tingkat namespace seperti role/default/pod-reader.

(Opsional) Membuat peran cloud-console-reader

Pengguna yang diautentikasi dan ingin mengakses resource cluster di konsol Google Cloud harus memiliki izin Kubernetes yang relevan untuk melakukannya. Jika tidak ingin memberikan izin yang lebih luas kepada pengguna tersebut, seperti izin admin cluster, Anda dapat membuat peran RBAC kustom yang menyertakan izin minimum untuk melihat node, volume persisten, pod, dan class penyimpanan cluster. Anda dapat menentukan kumpulan izin ini dengan membuat resource ClusterRole RBAC, cloud-console-reader, di cluster.

cloud-console-reader memberi penggunanya izin get, list, dan watch pada node cluster, volume persisten, pod, dan class penyimpanan, yang memungkinkan mereka melihat detail tentang resource ini.

kubectl

Untuk membuat cloud-console-reader ClusterRole dan menerapkannya ke cluster, jalankan perintah berikut:

cat <<EOF > cloud-console-reader.yaml
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: cloud-console-reader
rules:
- apiGroups: [""]
  resources: ["nodes", "persistentvolumes", "pods"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["storage.k8s.io"]
  resources: ["storageclasses"]
  verbs: ["get", "list", "watch"]
EOF
kubectl apply -f cloud-console-reader.yaml

Kemudian, Anda dapat memberikan peran ini kepada pengguna saat menyiapkan kebijakan izin, seperti yang dijelaskan di bagian berikutnya.

Membuat dan menerapkan kebijakan RBAC yang diperlukan

Berikut ini cara membuat dan menerapkan kebijakan RBAC yang diperlukan. Cara paling sederhana untuk melakukannya adalah dengan menggunakan gcloud CLI untuk membuat dan menerapkan kebijakan yang sesuai untuk Anda. Atau, jika mau, Anda dapat membuat file kebijakan RBAC dan menerapkannya dengan kubectl.

gcloud

Untuk membuat dan menerapkan kebijakan ke cluster yang dipilih dengan gcloud CLI, jalankan perintah berikut:

gcloud container fleet memberships generate-gateway-rbac  \
    --membership=MEMBERSHIP_NAME \
    --role=ROLE \
    --users=USERS \
    --project=PROJECT_ID \
    --kubeconfig=KUBECONFIG_PATH \
    --context=KUBECONFIG_CONTEXT \
    --apply

Ganti kode berikut:

  • MEMBERSHIP_NAME: nama yang digunakan untuk merepresentasikan cluster secara unik dalam fleet-nya. Anda dapat mengetahui cara memeriksa nama keanggotaan cluster di Mendapatkan status keanggotaan fleet.
  • ROLE: peran Kubernetes yang ingin Anda berikan kepada pengguna di cluster, misalnya, clusterrole/cluster-admin, clusterrole/cloud-console-reader, atau role/mynamespace/namespace-reader. Peran ini harus sudah ada sebelum Anda menjalankan perintah.
  • USERS: alamat email pengguna (akun pengguna atau akun layanan) yang ingin Anda beri izin, sebagai daftar yang dipisahkan koma. Contoh: --users=dana@example.com,test-acct@test-project.iam.gserviceaccount.com.
  • PROJECT_ID: project ID tempat cluster terdaftar.
  • KUBECONFIG_PATH: jalur file lokal tempat kubeconfig Anda yang berisi entri untuk cluster disimpan. Dalam sebagian besar kasus, nilainya adalah $HOME/.kube/config.

  • KUBECONFIG_CONTEXT: konteks cluster seperti yang muncul dalam file kubeconfig. Anda bisa mendapatkan konteks saat ini dari command line dengan menjalankan kubectl config current-context. Baik Anda menggunakan konteks saat ini maupun tidak, pastikan konteks tersebut berfungsi untuk mengakses cluster dengan menjalankan perintah berikut:

    kubectl get namespaces \
  --kubeconfig=KUBECONFIG_PATH \
  --context=KUBECONFIG_CONTEXT

Setelah menjalankan gcloud container fleet memberships generate-gateway-rbac, Anda akan melihat sesuatu seperti berikut di akhir output, yang dipotong untuk keterbacaan

Validating input arguments.
Specified Cluster Role is: clusterrole/cluster-admin
Generated RBAC policy is:
--------------------------------------------
...
---
Applying the generate RBAC policy to cluster with kubeconfig: artifacts/kubeconfig, context: example-cluster-admin@example-cluster
Writing RBAC policy for user: 222larabrown@gmail.com to cluster.
Successfully applied the RBAC policy to cluster.

Ini adalah konteks untuk mengakses cluster melalui gateway Connect.

Untuk mengetahui detail selengkapnya tentang perintah generate-gateway-rbac, lihat panduan referensi gcloud CLI.

Jika Anda melihat error seperti ERROR: (gcloud.container.hub.memberships) Invalid choice: 'generate-gateway-rbac' saat menjalankan perintah ini, update Google Cloud CLI dengan mengikuti panduan update.

kubectl

Contoh berikut menunjukkan cara membuat kebijakan yang sesuai untuk pengguna (dana@example.com) dan akun layanan (test@example-project.iam.gserviceaccount.com), yang memberi mereka izin cluster-admin di cluster dan menyimpan file kebijakan sebagai /tmp/gateway-rbac.yaml. Kebijakan tersebut kemudian diterapkan ke cluster yang terkait dengan konteks saat ini:

cat <<EOF > /tmp/gateway-rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: gateway-impersonate
rules:
- apiGroups:
  - ""
  resourceNames:
  - dana@example.com
  - test@example-project.iam.gserviceaccount.com
  resources:
  - users
  verbs:
  - impersonate
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-impersonate
roleRef:
  kind: ClusterRole
  name: gateway-impersonate
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  name: connect-agent-sa
  namespace: gke-connect
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin
subjects:
- kind: User
  name: dana@example.com
- kind: User
  name: test@example-project.iam.gserviceaccount.com
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
EOF
# Apply policies to the cluster.
kubectl apply --kubeconfig=KUBECONFIG_PATH  -f /tmp/gateway-rbac.yaml

Anda dapat mengetahui lebih lanjut cara menentukan izin RBAC di Menggunakan otorisasi RBAC.

Dukungan Kontrol Layanan VPC

Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk layananGoogle Cloud yang tidak bergantung pada Identity and Access Management (IAM). Meskipun IAM memungkinkan kontrol akses berbasis identitas yang terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, termasuk mengontrol keluar data di seluruh perimeter—misalnya, Anda dapat menentukan bahwa hanya project tertentu yang dapat mengakses data BigQuery Anda. Anda dapat menemukan informasi selengkapnya tentang cara kerja Kontrol Layanan VPC untuk melindungi data Anda di Ringkasan Kontrol Layanan VPC.

Anda dapat menggunakan Kontrol Layanan VPC dengan gateway Connect untuk keamanan data tambahan, setelah memastikan bahwa API yang diperlukan untuk menggunakan gateway dapat diakses dari dalam perimeter layanan yang ditentukan.

Apa langkah selanjutnya?