Configura equipos para tu flota

Esta página está destinada a los administradores de la plataforma que desean configurar y administrar el uso de la flota para un equipo. Las funciones de administración de equipos de flotas solo están disponibles para los usuarios que habilitaron GKE Enterprise.

Antes de leer esta página, asegúrate de estar familiarizado con la administración de equipos de flotas.

Descripción general de la configuración del equipo

Puedes configurar equipos con Google Cloud CLI, la consola Google Cloud o Terraform.

El procedimiento general para configurar un equipo es el siguiente:

  1. Selecciona o crea la flota en la que deseas configurar el acceso del equipo y asegúrate de tener los permisos y las APIs correctos para completar la configuración.
  2. (Opcional, pero recomendado) Configura el control de acceso para Grupos de Google en los clústeres de tu flota.
  3. Decide qué usuarios formarán el equipo. Un equipo puede incluir Grupos de Google (recomendado) o cuentas individuales.
  4. Elige el nivel de acceso a los recursos de la flota y del equipo que deseas para cada miembro del equipo.
  5. Crea un permiso de equipo para el equipo.
  6. Agrega uno o más (o todos) clústeres miembros de la flota al permiso de equipo.
  7. Define espacios de nombres a nivel de la flota y asócialos con el permiso del equipo.
  8. (Opcional) Usa el Sincronizador de configuración para sincronizar recursos de Kubernetes con espacios de nombres y permisos de equipo.

Luego, el equipo puede obtener credenciales para acceder a sus clústeres con Connect Gateway.

Configura la CLI de Google Cloud

Incluso si creas permisos de equipo con la Google Cloud consola, es posible que debas configurar gcloud CLI para completar algunos requisitos previos mientras configuras tu flota, como habilitar las APIs requeridas.

  1. Asegúrate de tener la versión más reciente de Google Cloud CLI, incluido el componente alfa de Google Cloud CLI. Necesitas al menos la versión 419.0.0 para usar los comandos de administración del equipo de la flota.

  2. Ejecuta el siguiente comando para acceder a Google Cloud:

    gcloud auth login

  3. Inicializa la CLI de gcloud para usarla con el proyecto host de la flota que elegiste o ejecuta el siguiente comando a fin de configurar el proyecto host de la flota como el predeterminado:

    gcloud config set project PROJECT_ID

    Puedes usar la marca --project con cualquiera de los siguientes comandos para especificar un proyecto host de la flota diferente, si es necesario.

Configura tu flota

Selecciona o crea la flota en la que deseas configurar un equipo nuevo. Para obtener ejemplos y lineamientos que te ayuden a estructurar tus flotas, consulta Ejemplos de flotas y las otras guías en Planifica tu flota.

Si deseas crear una flota con nombre nueva en un proyecto que aún no tiene una, ejecuta el siguiente comando (primero deberás configurar Google Cloud CLI)

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Si no especificas un display-name, la flota nueva se creará con un nombre visible predeterminado basado en el nombre del proyecto host de la flota.

Roles de IAM obligatorios

Si no tienes roles/owner en el proyecto host de la flota, necesitas roles/gkehub.admin para crear y configurar permisos y espacios de nombres del equipo. El propietario de un proyecto puede otorgar este rol con el siguiente comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Habilita las APIs

Asegúrate de que el proyecto host de tu flota tenga habilitadas todas las APIs necesarias, incluida la API de GKE Enterprise:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Si inhabilitas la API de GKE Enterprise después de configurar la administración de equipos de flotas, algunos aspectos de la función seguirán funcionando, pero no podrás actualizar ni crear permisos de equipo ni espacios de nombres de flotas.

Configura los clústeres para el control de acceso con Grupos de Google.

Si bien puedes configurar el acceso de un equipo con RBAC a los clústeres miembros de la flota de forma individual sin ninguna configuración adicional del clúster, te recomendamos que les des a los miembros del equipo acceso a los clústeres según su membresía en un Grupo de Google del equipo. La autorización basada en la membresía del grupo significa que no tienes que configurar una autorización distinta para cada cuenta, lo que simplifica la administración de las políticas y facilita su auditoría, y elimina la necesidad de agregar o quitar manualmente usuarios individuales de los clústeres cuando se unen al equipo o salen de él. Usa las siguientes guías para asegurarte de que los clústeres que deseas asignar a los permisos de equipo puedan usar Grupos de Google con Connect Gateway para el control de acceso:

Configurar un nuevo equipo

En las siguientes instrucciones, se muestra cómo crear un nuevo permiso de equipo.

Elige los permisos de acceso del equipo

Primero, decide o descubre qué usuarios conforman tu equipo. Una parte importante de la configuración del equipo es otorgarles a los miembros acceso a la flota, incluida la capacidad de ver clústeres en la consola de Google Cloud y ver registros en todo el permiso del equipo. Según el rol del miembro del equipo, también puedes delegar la capacidad de crear espacios de nombres dentro del permiso de su equipo (disponible en gkehub.ScopeAdmin o gkehub.ScopeEditor) o permitirle actualizar las vinculaciones de roles de RBAC (solo gkehub.ScopeAdmin).

Para simplificar esta configuración, la administración de equipos de flotas proporciona tres arquetipos de permisos predefinidos para elegir, que incluyen un conjunto completo de permisos de RBAC de IAM y Kubernetes que un administrador, editor o visualizador del permiso de un equipo podría necesitar cuando trabaja con su permiso. Como alternativa, puedes seleccionar un arquetipo de rol personalizado con permisos de RBAC personalizados en un clúster. Luego, puedes asignar estos arquetipos a los miembros del equipo cuando lo configures, como se describe en la siguiente sección.

En la siguiente tabla, se muestran los permisos de cada tipo que se otorgan a cada arquetipo:

Descripción Tipo Arquetipo de Administrador de permisos Arquetipo de Editor de permisos Arquetipo de Visualizador de permisos Arquetipo de rol personalizado

Acceso al permiso del equipo y a sus espacios de nombres

 Vinculación de IAM en el permiso del equipo roles/gkehub.scopeAdmin roles/gkehub.scopeEditor roles/gkehub.scopeViewer roles/gkehub.scopeViewer

Acceso al proyecto host de la flota, incluidas las métricas, las operaciones de larga duración y la puerta de enlace de Connect.

 Vinculación de IAM en el proyecto host de la flota roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeViewerProjectLevel roles/gkehub.scopeEditorProjectLevel

Acceso al bucket de registros del permiso del equipo

 Vinculación de IAM en el proyecto host de la flota (con la condición de que el recurso al que se accede sea el nombre del bucket). roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor

Acceso a los recursos de Kubernetes dentro de los clústeres del permiso

 Es la vinculación de RBAC en el alcance que se aplica a los espacios de nombres del permiso de equipo. Rol predeterminado de Kubernetes: admin Rol predeterminado de Kubernetes: edit Rol predeterminado de Kubernetes: view ClusterRole definido por el usuario

Como se mencionó en la sección anterior, te recomendamos que otorgues acceso a los recursos de los miembros del equipo en función de la membresía de Grupos de Google, aunque la administración del equipo también te permite otorgar acceso a usuarios individuales.

Si estos arquetipos no satisfacen completamente tus necesidades, también puedes vincular de forma individual los roles de IAM (con gcloud container fleet scopes add-iam-policy-binding) y RBAC (con gcloud container fleet scopes rbacrolebindings create). Consulta la documentación de referencia de Google Cloud CLI para obtener más comandos que puedes usar para administrar estas vinculaciones.

Cómo configurar un permiso de equipo

gcloud

Crea un permiso para el equipo

Para crear un nuevo permiso de equipo en una flota, ejecuta el siguiente comando, en el que SCOPE_NAME es el nombre de identificación único que elegiste para tu nuevo permiso:

gcloud container fleet scopes create SCOPE_NAME

Agrega clústeres a un permiso de equipo

Solo se pueden agregar miembros existentes de la flota a los alcances del equipo. En estas instrucciones, se supone que el clúster que deseas agregar al alcance ya es miembro de la flota. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para tu tipo de clúster en Crea tu flota para registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, como se describió antes.

Un clúster miembro de la flota se puede agregar a cualquier cantidad de permisos de equipo en su proyecto host de la flota.

Para agregar un clúster a un permiso de equipo, ejecuta el siguiente comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Reemplaza lo siguiente:

  • BINDING_NAME: Es un nombre que representa la relación entre el clúster y el permiso del equipo. Te sugerimos que uses MEMBERSHIP_NAME-SCOPE_NAME.
  • MEMBERSHIP_NAME: Es el identificador único del clúster dentro de la flota (por lo general, el nombre del clúster).
  • MEMBERSHIP_LOCATION: Es la ubicación de la membresía del clúster (opcional). Si lo omites, el valor será global, que es el valor predeterminado para los registros de clústeres.

Crea espacios de nombres de flota

Para crear un espacio de nombres en el permiso de un equipo, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Reemplaza lo siguiente:

Este comando crea un espacio de nombres de Kubernetes llamado NAMESPACE_NAME en cada clúster del permiso del equipo. Los miembros del equipo pueden usar NAMESPACE_NAME como cualquier otro espacio de nombres de Kubernetes después de que les otorgues acceso a su permiso. Si ya tienes un espacio de nombres de Kubernetes existente llamado NAMESPACE_NAME en el permiso del equipo, se considera parte del nuevo espacio de nombres de la flota. A veces, se hace referencia a esto como incorporación del espacio de nombres.

Otorga acceso a los miembros del equipo al permiso del equipo

Usa funciones predefinidas

A continuación, asegúrate de que los Grupos de Google relevantes tengan los permisos de IAM y RBAC adecuados configurados para funcionar con el nuevo permiso:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID
  • En el ejemplo anterior, PROJECT_ID es el ID del proyecto host de la flota.
  • TEAM_EMAIL es la dirección de correo electrónico de un Grupo de Google del equipo.
  • SCOPE_ID es el ID del permiso que se creó.
  • ROLE es el arquetipo de permiso que tiene el grupo en el permiso del equipo. Los valores de este parámetro pueden ser admin (administrador de permiso), edit (editor de permiso) o view (visualizador de permiso).

Si necesitas otorgar acceso al permiso a un usuario individual, ejecuta el siguiente comando, en el que USER_EMAIL es la dirección de correo electrónico del ID de Google del usuario:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Usa roles personalizados

Para usar un rol personalizado, primero debes agregarlo a la función de flota rbacrolebindingactuation:

gcloud container fleet rbacrolebindingactuation update --allowed-custom-roles CUSTOM_ROLE --project PROJECT_ID

A continuación, asegúrate de que los Grupos de Google relevantes tengan los permisos de IAM y RBAC adecuados configurados para funcionar con el nuevo permiso:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --group=TEAM_EMAIL --project PROJECT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: ID de tu proyecto host de la flota.
  • TEAM_EMAIL: La dirección de correo electrónico de un grupo de Google de un equipo
  • SCOPE_ID : Es el ID del permiso que se creó.
  • CUSTOM_ROLE: Es un ClusterRole de Kubernetes que se agregó a la lista de entidades permitidas en la función rbacrolebindingactuation. Para que la función funcione según lo previsto, el ClusterRole debe existir en cada clúster agregado al alcance. Sin embargo, los recursos se siguen creando incluso cuando el ClusterRole no está presente.

Si necesitas otorgar acceso al permiso a un usuario individual, ejecuta el siguiente comando, en el que USER_EMAIL es la dirección de correo electrónico del ID de Google del usuario:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --user=USER_EMAIL --project PROJECT_ID

Console

Crea un permiso para el equipo

  1. Con el proyecto host de flota seleccionado, ve a la sección Equipos en la consola de Google Cloud .

    Ve a Equipos

  2. En la parte superior de la página, haz clic en Crear permiso de equipo.

  3. En la página Conceptos básicos del equipo, en Nombre, ingresa un nombre único para el permiso de tu equipo. No podrás cambiar este nombre una vez que se cree el permiso del equipo.

  4. Para agregar miembros del equipo al alcance, haz clic en Agregar miembro del equipo.

    • En Tipo, selecciona Usuario para agregar un miembro del equipo individual o Grupo para agregar un Grupo de Google (opción recomendada).
    • En Usuario o grupo, escribe la dirección de correo electrónico del miembro del equipo o del grupo.
    • En Rol, selecciona Administrador del permiso, Editor del permiso o Visualizador del permiso, que configuran varias vinculaciones de IAM y RBAC en el permiso y la flota, como se describe en Elige permisos de acceso del equipo.

  5. Para crear el permiso del equipo sin agregar clústeres ni espacios de nombres en este paso, haz clic en Crear permiso del equipo. De lo contrario, continúa con la siguiente sección para agregar clústeres al permiso.

Agrega clústeres al permiso del equipo

Para asociar un clúster con un permiso de equipo, este debe ser miembro de una flota existente. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para tu tipo de clúster en Crea tu flota para registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, como se describió antes.

Un clúster miembro de la flota se puede agregar a cualquier cantidad de permisos de equipo en su proyecto host de la flota, lo que permite que diferentes equipos ejecuten cargas de trabajo en el mismo clúster.

  1. En la página Conceptos básicos del equipo, después de agregar miembros del equipo a tu permiso, haz clic en Continuar.
  2. En la página Clústeres, puedes seleccionar los clústeres de la flota para asociarlos con este permiso del equipo. En el menú desplegable Clústeres, marca los clústeres que deseas agregar y haz clic en Aceptar.

Crea espacios de nombres de flota

Los miembros del equipo pueden usar los espacios de nombres de flotas como cualquier otro espacio de nombres de Kubernetes. Cuando creas un espacio de nombres de flota, se crea un espacio de nombres de Kubernetes correspondiente en todos los clústeres del permiso del equipo, si aún no existe.

  1. En la página Clústeres, después de agregar clústeres al permiso de tu equipo, haz clic en Continuar.
  2. En la página Namespaces, haz clic en Add Namespace.
  3. Para agregar más espacios de nombres de la flota al alcance, repite el paso anterior.
  4. Para crear el permiso de equipo, haz clic en Crear permiso de equipo. Una vez que se cree el permiso del equipo, puedes verlo y editarlo si es necesario haciendo clic en su nombre en la sección Equipos.

Terraform

En esta sección, se muestra cómo configurar un equipo nuevo con Terraform. Para obtener más información y otros ejemplos, consulta la documentación de referencia de los siguientes recursos:

Crea un permiso para el equipo

Para crear un permiso de equipo, puedes usar el siguiente bloque en la configuración de Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Reemplaza lo siguiente:

  • TF_SCOPE_RESOURCE_NAME: el nombre que elijas para identificar de manera inequívoca el recurso google_gke_hub_scope de Terraform que creó este bloque.
  • SCOPE_NAME: Es un nombre de identificación único para el permiso de tu equipo.

Agrega clústeres al alcance

Solo se pueden agregar miembros existentes de la flota a los alcances del equipo. Si necesitas agregar el clúster a tu flota, sigue las instrucciones para el tipo de clúster en Crea tu flota para registrar el clúster. Asegúrate de que el clúster recién registrado esté configurado para usar Grupos de Google para el control de acceso, como se describió antes.

Para agregar un clúster a un permiso de equipo, usa el siguiente bloque en tu configuración:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Reemplaza lo siguiente:

  • TF_MEMBERSHIP_BINDING_RESOURCE_NAME: Es un nombre para identificar el recurso google_gke_hub_membership_binding creado por este bloque.
  • BINDING_NAME: Es un nombre que representa la relación entre el clúster y el permiso. Te sugerimos que uses MEMBERSHIP_NAME-SCOPE_NAME.
  • SCOPE_NAME: Es el nombre del permiso de tu equipo.
  • MEMBERSHIP_NAME: Es el identificador único del clúster dentro de la flota (por lo general, el nombre del clúster).
  • MEMBERSHIP_LOCATION: Es la ubicación de la membresía del clúster.

Crea espacios de nombres de flota

Los miembros del equipo pueden usar los espacios de nombres de flotas como cualquier otro espacio de nombres de Kubernetes. Puedes crear un espacio de nombres nuevo o incorporar uno existente. Cuando creas un espacio de nombres de flota, se crea un espacio de nombres de Kubernetes correspondiente en todos los clústeres del permiso del equipo, si aún no existe.

Para crear un espacio de nombres de flota, usa el siguiente bloque en tu configuración:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Reemplaza lo siguiente:

  • TF_NAMESPACE_RESOURCE_NAME: Es un nombre para identificar el recurso google_gke_hub_namespace creado por este bloque.
  • NAMESPACE_NAME: Es un nombre único que elegiste para el espacio de nombres de la flota. Asegúrate de que este nombre no entre en conflicto con las restricciones de nomenclatura del espacio de nombres de la flota.
  • SCOPE_NAME: el nombre del permiso del equipo en el que se crea el espacio de nombres de la flota.

Otorga acceso de nivel

Usa funciones predefinidas

Como se describió en la sección anterior, se puede otorgar acceso a su permiso a los miembros del equipo mediante arquetipos de permisos que incluyan permisos de IAM y RBAC. Por ejemplo, esta es una configuración para otorgar acceso a un usuario individual a un permiso de equipo:

module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
  source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role = "ROLE"
}

Reemplaza lo siguiente:

  • TF_SCOPE_RESOURCE_NAME: Es el nombre del permiso.
  • BINDING_NAME: Es un nombre para representar esta vinculación.
  • SCOPE_NAME: Es el nombre del permiso del equipo.
  • USER_EMAIL: la dirección de correo electrónico del usuario.
  • ROLE: Es el arquetipo que deseas otorgar al usuario, que puede ser ADMIN, EDIT o VIEW.

Para otorgar acceso a un Grupo de Google a un permiso de equipo, usa group en lugar de user en la configuración anterior y usa la dirección de correo electrónico del Grupo de Google del equipo.

Usa roles personalizados

Para usar un rol personalizado, primero debes agregarlo a la función de flota rbacrolebindingactuation:

resource "google_gke_hub_feature" "rbacrolebindingactuation" {
  name = "rbacrolebindingactuation"
  location = "global"
  spec {
    rbacrolebindingactuation {
      allowed_custom_roles = ["CUSTOM_ROLE"]
    }
  }
}

La siguiente configuración otorga acceso RBAC a un usuario individual para un permiso de equipo:

resource "google_gke_hub_scope_rbac_role_binding" "BINDING_NAME" {
  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role {
    custom_role = "CUSTOM_ROLE"
  }
  depends_on = [google_gke_hub_feature.rbacrolebindingactuation]
}

Reemplaza lo siguiente:

  • BINDING_NAME: Es un nombre para representar esta vinculación.
  • SCOPE_NAME: Es el nombre del permiso del equipo.
  • USER_EMAIL: la dirección de correo electrónico del usuario.
  • CUSTOM_ROLE: Es el ClusterRole de Kubernetes que se agregó a la lista de entidades permitidas en la función rbacrolebindingactuation. Para que la función funcione según lo previsto, el ClusterRole debe existir en cada clúster agregado al alcance. Sin embargo, los recursos se siguen creando incluso cuando el ClusterRole no está presente.

Se requieren permisos de IAM adicionales a nivel del proyecto y del alcance, que se pueden agregar siguiendo los ejemplos de Terraform de vinculación de operadores.

Acceder a espacios de nombres de la flota

Una vez que se completa la configuración, los miembros del equipo pueden acceder a los espacios de nombres en su alcance obteniendo las credenciales del clúster pertinentes. Para obtener credenciales para un clúster miembro de la flota mediante la puerta de enlace de Connect, ejecuta el siguiente comando, en el que MEMBERSHIP_NAME es el nombre de la membresía de la flota del clúster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Para obtener más detalles, consulta Cómo usar Connect Gateway.

Administra permisos de equipo

Usa los siguientes comandos para administrar los permisos del equipo.

gcloud

Enumera los permisos del equipo

Para enumerar todos los permisos de una flota, ejecuta el siguiente comando:

gcloud container fleet scopes list

Para enumerar todos los permisos asociados con un clúster, ejecuta el siguiente comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Quita clústeres de los permisos del equipo

Para quitar un clúster de un permiso, ejecuta el siguiente comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Borra un permiso de equipo

Para borrar un permiso de tu flota, ejecuta el siguiente comando:

gcloud container fleet scopes delete SCOPE_NAME

Console

Enumera los permisos del equipo

Para ver todos los permisos de una flota, con el proyecto host de la flota seleccionado, ve a la sección Equipos en la consola de Google Cloud .

Ve a Equipos

En la página Equipos, se muestra una lista de todos los permisos del equipo creados para tu flota. Para cada permiso, puedes ver un resumen de su uso de recursos durante el período especificado, así como su costo mensual estimado, la cantidad de errores y la cantidad de reinicios de contenedores.

Para ver métricas de utilización relacionadas con el costo más detalladas, haz clic en Optimización de costos.

Visualiza los detalles del permiso del equipo

Para cada permiso del equipo, puedes ver detalles, como las etiquetas asociadas con ese permiso, los miembros del equipo y los registros centrados en el equipo.

  1. En la página Equipos, haz clic en el permiso del equipo cuyos detalles deseas ver.
  2. En la pestaña Equipo, puedes ver las etiquetas de alcance, si las hay, y los miembros del equipo.
  3. Haz clic en la pestaña Monitoring para ver las métricas de uso de recursos del equipo.
  4. Haz clic en la pestaña Clústeres para ver los clústeres del permiso del equipo.
  5. Haz clic en la pestaña Espacios de nombre para ver los espacios de nombres de la flota en este permiso del equipo.
  6. Haz clic en la pestaña Registros para ver los registros del permiso del equipo.

Agrega o borra clústeres en un permiso de equipo

Para agregar o borrar clústeres en un permiso del equipo existente, sigue estos pasos:

  1. Ve a la página Equipos en la consola de Google Cloud :

    Ve a Equipos

  2. Selecciona el permiso del equipo en el que deseas agregar o borrar clústeres. En la pestaña Clústeres, se muestra una lista de los clústeres vinculados actualmente al permiso.

Para agregar clústeres a un permiso de equipo, haz lo siguiente:

  1. En la parte superior de la página, haz clic en Agregar clústeres.
  2. En el menú desplegable Clústeres, selecciona los clústeres que deseas agregar al permiso y haz clic en Aceptar.
  3. Haz clic en Update Team Scope.

Para borrar clústeres de un permiso del equipo, sigue estos pasos:

  1. Selecciona la pestaña Clústeres, que muestra una lista de los clústeres vinculados actualmente al permiso.
  2. Haz clic en el ícono de papelera junto al clúster que deseas borrar y, luego, en Quitar para confirmar la eliminación.

Borra un permiso

  1. Ve a la página Equipos en la consola de Google Cloud :

    Ve a Equipos

  2. Selecciona el permiso del equipo que deseas borrar.

  3. Para borrar el permiso, haz clic en Borrar en la parte superior de la página.

  4. Para confirmar la eliminación, ingresa el nombre de tu permiso y vuelve a hacer clic en Borrar.

Administra los espacios de nombres de la flota

gcloud

Usa los siguientes comandos para administrar los espacios de nombres dentro de los permisos de equipo.

Enumera los espacios de nombres de la flota

Para enumerar todos los espacios de nombres creados con fleet scopes namespaces create en un permiso, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Borra un espacio de nombres de flota

Para borrar un espacio de nombres de la flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Ten en cuenta que lo que sucede cuando borras un espacio de nombres de flota depende de cómo lo agregaste:

  • Si creaste un espacio de nombres de flota nuevo: Este comando borra el espacio de nombres de flota. También borra los espacios de nombres de Kubernetes creados como resultado de la creación del espacio de nombres de la flota, junto con sus cargas de trabajo.
  • Si incorporaste un espacio de nombres de Kubernetes existente: Este comando borra el espacio de nombres de la flota. El espacio de nombres original que incorporaste no se borra.

Console

Para administrar los espacios de nombres de la flota en el permiso de tu equipo, haz lo siguiente:

  1. Ve a la página Equipos en la consola de Google Cloud :

    Ve a Equipos

  2. Selecciona el permiso del equipo cuyos espacios de nombres de flota deseas administrar.

Enumera los espacios de nombres de la flota

En el permiso de tu equipo, selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres creados en este permiso.

Cómo ver los detalles del espacio de nombres

Para cada espacio de nombres de la flota, puedes ver las etiquetas asociadas a ese espacio de nombres, y las cargas de trabajo y los registros filtrados por espacio de nombres.

  1. Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el permiso del equipo.
  2. Haz clic en el espacio de nombres de la flota cuyos detalles deseas ver.
  3. En la pestaña Detalles, puedes ver el espacio de nombres de la flota y las etiquetas de permiso.
    • Para ver las cargas de trabajo de este espacio de nombres, haz clic en Ver cargas de trabajo.
    • En la página Cargas de trabajo, puedes ver las cargas de trabajo ya filtradas por el espacio de nombres y los clústeres asociados con el permiso del equipo para ese espacio de nombres.
  4. En la pestaña Registros, puedes ver los registros de permiso de la flota por espacio de nombres.

Agrega espacios de nombres de la flota a un permiso de equipo

  1. Para agregar un nuevo espacio de nombres de la flota, haz clic en Agregar espacios de nombres en la parte superior de la página.
  2. Ingresa el nombre del nuevo espacio de nombres de la flota y asegúrate de que no entre en conflicto con las restricciones de nomenclatura del espacio de nombres de la flota. Para agregar más espacios de nombres, haz clic en Agregar espacio de nombres.
  3. Haz clic en Update Team Scope.

Borra un espacio de nombres de flota

  1. Selecciona la pestaña Espacios de nombres, que muestra una lista de los espacios de nombres de la flota creados en el permiso del equipo.
  2. Haz clic en el ícono de papelera junto al espacio de nombres que quieres borrar.
  3. Para confirmar la eliminación, ingresa el nombre de tu espacio de nombres y vuelve a hacer clic en Borrar.

Ten en cuenta que lo que sucede cuando haces esto depende de cómo agregaste el espacio de nombres:

  • Si creaste un espacio de nombres de flota nuevo: Se borra el espacio de nombres de flota. También se borran todos los espacios de nombres de Kubernetes creados como resultado de la creación del espacio de nombres de la flota, junto con sus cargas de trabajo.
  • Si incorporaste un espacio de nombres de Kubernetes existente: Se borra el espacio de nombres de la flota. Sin embargo, el espacio de nombres original que incorporaste no se borra.

Actualiza el nombre de un espacio de nombres de flota

No puedes editar un espacio de nombres de flota una vez que se creó. Si necesitas actualizar el nombre de un espacio de nombres de flota, bórralo y crea uno nuevo en el permiso del equipo.

Administra el acceso del equipo

gcloud

Enumera miembros del equipo

Para enumerar a todos los miembros del equipo a los que se les otorgó acceso al permiso del equipo con el comando add-app-operator-binding, junto con sus arquetipos de permisos, usa el siguiente comando:

gcloud beta container fleet scopes list-app-operator-bindings SCOPE_NAME

Reemplaza lo siguiente:

  • SCOPE_NAME: Es el identificador único del permiso del equipo.

Quita miembros del equipo

Para quitar el acceso al permiso de un miembro del equipo (otorgado con add-app-operator-binding), usa el siguiente comando:

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

o

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Reemplaza lo siguiente:

  • SCOPE_NAME: Es el identificador único del permiso del equipo.
  • TEAM_EMAIL o USER_EMAIL: La dirección de correo electrónico del grupo o usuario que deseas quitar del equipo.

Si se le otorgó acceso al miembro del equipo con el comando rbacrolebindings create, usa el comando rbacrolebindings delete en su lugar para quitar al miembro del equipo.

Actualiza el acceso al permiso del equipo

Para actualizar el acceso del permiso del equipo (por ejemplo, para otorgarles un rol diferente a los miembros del equipo o para actualizar una dirección de correo electrónico de grupo), quítalo del permiso como se describe en la sección anterior y, luego, vuelve a otorgarle acceso con sus nuevos detalles.

Si se otorgó acceso al miembro del equipo con el comando rbacrolebindings create, puedes usar el comando rbacrolebindings update para actualizar el acceso del miembro.

Console

Agrega o quita miembros de equipos

Para administrar los miembros del equipo en un permiso del equipo, haz lo siguiente:

  1. Ve a la página Equipos en la consola de Google Cloud :

    Ve a Equipos

  2. Selecciona el permiso del equipo cuyos miembros deseas administrar.

Para agregar nuevos miembros del equipo al alcance, haz lo siguiente:

  1. En la parte superior de la página, haz clic en Agregar miembros del equipo. Sigue las instrucciones que se detallan en la sección Crea un permiso de equipo.
  2. Haz clic en Update Team Scope.

Para quitar miembros del equipo del permiso, haz lo siguiente:

  1. En la pestaña Equipo, haz clic en el ícono de papelera junto al miembro del equipo que quieres quitar del permiso del equipo.
  2. Haz clic en Borrar para confirmar esta acción.

No puedes editar los detalles de un miembro del equipo en la Google Cloud consola. Para actualizar el acceso de permiso en la consola de Google Cloud (por ejemplo, para otorgarles a los miembros del equipo un rol diferente o actualizar una dirección de correo electrónico de grupo), quítalo del permiso y vuelve a agregarlo con los detalles nuevos.

Restricciones de nombres de espacios de nombres de la flota

Los siguientes nombres están reservados y prohibidos para su uso cuando creas un espacio de nombres de flota en un permiso de equipo:

  • default
  • kube-system
  • gke-connect
  • kube-node-lease
  • kube-public
  • istio-system
  • gatekeeper-system
  • asm-system
  • config-management-system
  • anthos-creds
  • anthos-identity-service
  • capi-kubeadm-bootstrap-system
  • capi-system
  • cert-manager
  • gke-managed-metrics-server
  • gke-system
  • config-management-monitoring
  • istio-gateway
  • knative-serving
  • resource-group-system
  • gke-mcs
  • appdevexperience
  • vm-system
  • gmp-system
  • gmp-public
  • gke-gmp-system
  • gke-managed-filestorecsi
  • apigee
  • apigee-system

Administrar etiquetas

Para ayudarte a identificar y administrar tus permisos, puedes usar Google Cloud CLI para crear y administrar etiquetas para los espacios de nombres de tu flota y los permisos de equipo.

Todos los espacios de nombres de la flota dentro del permiso heredan las etiquetas agregadas a un permiso de equipo, lo que significa que se adjuntan a todos los espacios de nombres de Kubernetes en los clústeres del permiso. Las etiquetas que se agregan directamente a un espacio de nombres de flota se adjuntan solo a sus espacios de nombres de Kubernetes correspondientes. Si una etiqueta de permiso de equipo y una etiqueta de espacio de nombres de la flota tienen la misma clave, la etiqueta de permiso de equipo tiene prioridad.

Puedes trabajar en varios pares clave-valor a la vez agregando una lista separada por comas de pares clave-valor.

Administra etiquetas de espacio de nombres de la flota

Crea un espacio de nombres de flota con etiquetas

Para crear un espacio de nombres de flota con etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Reemplaza lo siguiente:

  • NAMESPACE_NAME: Es el nombre único que elegiste para el espacio de nombres dentro de la flota.
  • SCOPE_NAME: el permiso del equipo en el que deseas usar el espacio de nombres.
  • KEY: La clave para el par clave-valor de la etiqueta
  • VALUE: El valor para el par clave-valor de la etiqueta

Agrega o actualiza etiquetas para los espacios de nombres de la flota existentes

Para agregar o actualizar etiquetas de un espacio de nombres existente, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Borra etiquetas de espacio de nombres de flota

Para borrar una etiqueta de espacio de nombres de flota específica, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Reemplaza KEY por una lista separada por comas de las claves de las etiquetas que deseas quitar.

Para borrar todas las etiquetas del espacio de nombres de la flota, ejecuta el siguiente comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Administra etiquetas de permiso de equipo

Crea un permiso para el equipo con etiquetas

Para crear un permiso con una etiqueta, ejecuta el siguiente comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Reemplaza lo siguiente:

  • SCOPE_NAME: Es el nombre de identificación único que elegiste para el nuevo permiso del equipo.
  • KEY: La clave para el par clave-valor de la etiqueta
  • VALUE: El valor para el par clave-valor de la etiqueta

Agrega o actualiza etiquetas para los permisos de equipo existentes

Para agregar o actualizar etiquetas de un permiso existente, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Borra etiquetas de permiso de equipo

Para borrar etiquetas específicas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Reemplaza KEY por una lista separada por comas de las claves de las etiquetas que deseas quitar.

Para borrar todas las etiquetas, ejecuta el siguiente comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Solucionar problemas

Si no puedes actualizar ni crear recursos de administración de equipos de flotas, asegúrate de que la API de GKE Enterprise esté habilitada. Si inhabilitas la API de GKE Enterprise en tu proyecto host de flota después de configurar la administración de equipos de flotas, ocurrirá lo siguiente:

  • Todos los permisos de equipo y espacios de nombres de flotas que hayas creado seguirán funcionando como se espera, pero no se podrán actualizar.
  • Se pueden borrar los permisos de equipo y los espacios de nombres de la flota existentes.
  • No se pueden crear nuevos permisos de equipo ni espacios de nombres de la flota.

Próximos pasos