Menyiapkan tim untuk armada Anda

Halaman ini ditujukan bagi admin platform yang ingin menyiapkan dan mengelola penggunaan armada untuk tim. Fitur pengelolaan tim armada hanya tersedia untuk pengguna yang telah mengaktifkan GKE Enterprise.

Sebelum membaca halaman ini, pastikan Anda sudah memahami Pengelolaan tim armada.

Ringkasan penyiapan tim

Anda dapat menyiapkan tim menggunakan Google Cloud CLI, konsol Google Cloud , atau Terraform.

Prosedur umum untuk menyiapkan tim adalah sebagai berikut:

  1. Pilih atau buat fleet tempat Anda ingin menyiapkan akses tim, dan pastikan Anda memiliki izin dan API yang benar untuk menyelesaikan penyiapan.
  2. (Opsional, tetapi direkomendasikan) Siapkan kontrol akses untuk Google Grup di cluster fleet Anda.
  3. Tentukan pengguna yang akan menjadi anggota tim. Tim dapat mencakup Grup Google (direkomendasikan) dan/atau akun perorangan.
  4. Pilih tingkat akses ke resource tim dan armada yang Anda inginkan untuk setiap anggota tim.
  5. Buat cakupan tim untuk tim.
  6. Tambahkan satu atau beberapa (atau semua) cluster anggota fleet ke cakupan tim.
  7. Tentukan namespace tingkat armada dan kaitkan dengan cakupan tim.
  8. (Opsional) Gunakan Config Sync untuk menyinkronkan resource Kubernetes ke cakupan dan namespace tim.

Kemudian, tim dapat memperoleh kredensial untuk mengakses cluster mereka menggunakan Connect Gateway.

Menyiapkan Google Cloud CLI

Meskipun Anda membuat cakupan tim menggunakan konsol Google Cloud , Anda mungkin masih perlu menyiapkan gcloud CLI untuk menyelesaikan beberapa prasyarat saat menyiapkan armada, seperti mengaktifkan API yang diperlukan.

  1. Pastikan Anda memiliki Google Cloud CLI versi terbaru, termasuk komponen alfa Google Cloud CLI. Anda memerlukan setidaknya versi 419.0.0 untuk menggunakan perintah pengelolaan tim fleet.

  2. Jalankan perintah berikut untuk login ke Google Cloud:

    gcloud auth login

  3. Lakukan inisialisasi gcloud CLI untuk digunakan dengan project host fleet yang Anda pilih, atau jalankan perintah berikut untuk menetapkan project host fleet sebagai default:

    gcloud config set project PROJECT_ID

    Anda dapat menggunakan flag --project dengan salah satu perintah berikut untuk menentukan project host fleet yang berbeda, jika diperlukan.

Menyiapkan fleet Anda

Pilih atau buat armada tempat Anda ingin menyiapkan tim baru. Untuk mengetahui panduan dan contoh yang akan membantu Anda menyusun fleet, lihat Contoh fleet dan panduan lainnya di Merencanakan fleet Anda.

Jika Anda ingin membuat fleet bernama baru dalam project yang belum memilikinya, jalankan perintah berikut (Anda harus menyiapkan Google Cloud CLI terlebih dahulu):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Jika Anda tidak menentukan display-name, fleet baru akan dibuat dengan nama tampilan default berdasarkan nama project host fleet.

Peran IAM yang diperlukan

Jika Anda tidak memiliki roles/owner di project host armada, Anda memerlukan roles/gkehub.admin untuk membuat dan mengonfigurasi cakupan dan namespace tim. Pemilik project dapat memberikan peran ini dengan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Mengaktifkan API

Pastikan project host fleet Anda telah mengaktifkan semua API yang diperlukan, termasuk GKE Enterprise API:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Jika Anda menonaktifkan GKE Enterprise API setelah mengonfigurasi pengelolaan tim fleet, beberapa aspek fitur akan terus berfungsi, tetapi Anda tidak akan dapat memperbarui atau membuat cakupan tim atau namespace fleet.

Mengonfigurasi cluster untuk kontrol akses dengan Google Grup

Meskipun Anda dapat mengonfigurasi akses tim menggunakan RBAC ke cluster anggota armada berdasarkan per pengguna tanpa konfigurasi cluster tambahan, sebaiknya berikan akses anggota tim ke cluster berdasarkan keanggotaan mereka di Google Grup tim. Memberikan otorisasi berdasarkan keanggotaan grup berarti Anda tidak perlu menyiapkan otorisasi terpisah untuk setiap akun, sehingga kebijakan lebih mudah dikelola dan diaudit, serta tidak perlu menambahkan/menghapus pengguna satu per satu dari cluster secara manual saat mereka bergabung atau keluar dari tim. Gunakan panduan berikut untuk memastikan bahwa cluster yang ingin Anda tetapkan ke cakupan tim dapat menggunakan Google Grup dengan Connect Gateway untuk kontrol akses:

Menyiapkan tim baru

Petunjuk berikut menunjukkan cara membuat cakupan tim baru untuk tim.

Memilih izin akses tim

Pertama, tentukan atau temukan pengguna yang membentuk tim Anda. Bagian penting dari penyiapan tim adalah memberikan akses kepada anggota tim ini ke armada, termasuk kemampuan untuk melihat cluster di konsol Google Cloud dan melihat log di seluruh cakupan tim mereka. Bergantung pada peran anggota tim, Anda juga dapat mendelegasikan kemampuan untuk membuat namespace dalam cakupan tim mereka (tersedia di gkehub.ScopeAdmin atau gkehub.ScopeEditor), atau mengizinkan mereka memperbarui binding peran RBAC (khusus gkehub.ScopeAdmin).

Untuk menyederhanakan penyiapan ini, pengelolaan tim armada menyediakan tiga persona izin yang telah ditentukan untuk dipilih yang mencakup serangkaian izin IAM dan RBAC Kubernetes lengkap yang mungkin diperlukan oleh admin, editor, atau pelihat cakupan tim saat bekerja dengan cakupan mereka. Atau, Anda dapat memilih persona peran kustom dengan izin RBAC kustom pada cluster. Kemudian, Anda dapat menetapkan persona ini kepada anggota tim saat menyiapkan tim, seperti yang dijelaskan di bagian berikut.

Tabel berikut menunjukkan izin setiap jenis yang diberikan kepada setiap persona:

Deskripsi Jenis Persona Admin Cakupan Persona Scope Editor Persona Scope Viewer Persona Peran Khusus

Akses ke cakupan tim dan namespace-nya.

 Binding IAM pada cakupan tim roles/gkehub.scopeAdmin roles/gkehub.scopeEditor roles/gkehub.scopeViewer roles/gkehub.scopeViewer

Akses ke project host fleet, termasuk metrik, operasi yang berjalan lama, dan gateway Connect.

 Binding IAM di project host fleet roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeViewerProjectLevel roles/gkehub.scopeEditorProjectLevel

Akses ke bucket log cakupan tim.

 Binding IAM di project host fleet (dengan kondisi bahwa resource yang diakses adalah nama bucket). roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor

Akses ke resource Kubernetes dalam cluster cakupan.

 Binding RBAC pada cakupan yang diterapkan ke namespace cakupan tim. Peran default Kubernetes: admin Peran default Kubernetes: edit Peran default Kubernetes: view ClusterRole yang ditentukan pengguna

Seperti yang disebutkan di bagian sebelumnya, sebaiknya Anda memberi anggota tim akses ke resource mereka berdasarkan keanggotaan Google Grup, meskipun pengelolaan tim juga memungkinkan Anda memberi akses kepada pengguna perorangan.

Jika persona ini tidak sepenuhnya memenuhi kebutuhan Anda, Anda juga dapat mengikat peran IAM (menggunakan gcloud container fleet scopes add-iam-policy-binding) dan RBAC (menggunakan gcloud container fleet scopes rbacrolebindings create) secara terpisah. Lihat dokumentasi referensi Google Cloud CLI untuk mengetahui perintah lainnya yang dapat Anda gunakan untuk mengelola binding ini.

Menyiapkan cakupan tim

gcloud

Membuat cakupan tim

Untuk membuat cakupan tim baru di armada, jalankan perintah berikut, dengan SCOPE_NAME adalah nama identifikasi unik yang telah Anda pilih untuk cakupan baru:

gcloud container fleet scopes create SCOPE_NAME

Menambahkan cluster ke cakupan tim

Hanya anggota fleet yang sudah ada yang dapat ditambahkan ke cakupan tim. Petunjuk ini mengasumsikan bahwa cluster yang ingin Anda tambahkan ke cakupan sudah menjadi anggota fleet. Jika Anda perlu menambahkan cluster ke fleet, ikuti petunjuk untuk jenis cluster Anda di Membuat fleet untuk mendaftarkan cluster. Pastikan cluster yang baru didaftarkan dikonfigurasi untuk menggunakan Google Grup untuk kontrol akses, seperti yang dijelaskan sebelumnya.

Cluster anggota fleet dapat ditambahkan ke sejumlah cakupan tim dalam project host fleet-nya.

Untuk menambahkan cluster ke cakupan tim, jalankan perintah berikut:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Ganti kode berikut:

  • BINDING_NAME: nama yang merepresentasikan hubungan antara cluster dan cakupan tim. Sebaiknya gunakan MEMBERSHIP_NAME-SCOPE_NAME.
  • MEMBERSHIP_NAME: ID unik cluster dalam fleet (biasanya nama cluster).
  • (opsional) MEMBERSHIP_LOCATION: lokasi keanggotaan cluster. Jika Anda menghilangkannya, nilainya adalah global, yang merupakan nilai default untuk pendaftaran cluster.

Membuat namespace fleet

Untuk membuat namespace dalam cakupan tim, jalankan perintah berikut:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Ganti kode berikut:

  • NAMESPACE_NAME: nama unik yang telah Anda pilih untuk namespace dalam fleet. Pastikan NAMESPACE_NAME tidak bertentangan dengan batasan penamaan namespace fleet.
  • SCOPE_NAME: cakupan tim tempat Anda ingin menggunakan namespace.

Perintah ini akan membuat namespace Kubernetes bernama NAMESPACE_NAME di setiap cluster dalam cakupan tim. Anggota tim dapat menggunakan NAMESPACE_NAME seperti namespace Kubernetes lainnya setelah Anda memberi mereka akses ke cakupannya. Jika Anda sudah memiliki namespace Kubernetes bernama NAMESPACE_NAME dalam cakupan tim, namespace tersebut dianggap sebagai bagian dari namespace fleet baru. Tindakan ini terkadang disebut sebagai mengaktifkan namespace.

Memberi anggota tim akses ke cakupan tim

Menggunakan peran bawaan

Selanjutnya, pastikan bahwa Google Grup yang relevan telah dikonfigurasi dengan izin IAM dan RBAC yang sesuai untuk bekerja dengan cakupan baru:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID
  • PROJECT_ID adalah ID project host fleet Anda
  • TEAM_EMAIL adalah alamat email untuk Grup Google tim.
  • SCOPE_ID adalah ID cakupan yang dibuat
  • ROLE adalah persona izin yang dimiliki grup dalam cakupan tim. Nilai untuk parameter ini dapat berupa admin (Admin Cakupan), edit (Editor Cakupan), atau view (Pelihat Cakupan).

Jika Anda perlu memberikan akses cakupan kepada pengguna tertentu, jalankan perintah berikut, dengan USER_EMAIL adalah alamat email ID Google pengguna:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Menggunakan peran kustom

Untuk menggunakan peran kustom, Anda harus menambahkan peran kustom ke fitur armada rbacrolebindingactuation terlebih dahulu:

gcloud container fleet rbacrolebindingactuation update --allowed-custom-roles CUSTOM_ROLE --project PROJECT_ID

Selanjutnya, pastikan bahwa Google Grup yang relevan telah dikonfigurasi dengan izin IAM dan RBAC yang sesuai untuk bekerja dengan cakupan baru:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --group=TEAM_EMAIL --project PROJECT_ID

Ganti kode berikut:

  • PROJECT_ID: ID project host fleet Anda.
  • TEAM_EMAIL: alamat email untuk Grup Google tim.
  • SCOPE_ID : ID cakupan yang dibuat.
  • CUSTOM_ROLE: ClusterRole Kubernetes yang telah ditambahkan ke daftar yang diizinkan dalam fitur rbacrolebindingactuation. Agar fitur berfungsi sebagaimana mestinya, ClusterRole harus ada di setiap cluster yang ditambahkan ke cakupan. Namun, resource tetap dibuat meskipun ClusterRole tidak ada.

Jika Anda perlu memberikan akses cakupan kepada pengguna tertentu, jalankan perintah berikut, dengan USER_EMAIL adalah alamat email ID Google pengguna:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --user=USER_EMAIL --project PROJECT_ID

Konsol

Membuat cakupan tim

  1. Setelah project host armada Anda dipilih, buka bagian Teams di konsol Google Cloud .

    Buka Tim

  2. Di bagian atas halaman, klik Buat Cakupan Tim.

  3. Di halaman Dasar-Dasar Tim, untuk Nama, masukkan nama unik untuk cakupan tim Anda. Anda tidak akan dapat mengubah nama ini setelah cakupan tim dibuat.

  4. Untuk menambahkan anggota tim ke cakupan, klik Tambahkan Anggota Tim.

    • Untuk Jenis, pilih Pengguna untuk menambahkan anggota tim satu per satu, atau Grup untuk menambahkan Grup Google (direkomendasikan).
    • Untuk Pengguna atau Grup, ketik alamat email anggota tim atau grup.
    • Untuk Peran, pilih Admin Cakupan, Editor Cakupan, atau Pelihat Cakupan, yang mengonfigurasi beberapa binding IAM dan RBAC pada cakupan dan fleet, seperti yang dijelaskan dalam Memilih izin akses tim.

  5. Untuk membuat cakupan tim tanpa menambahkan cluster dan namespace pada tahap ini, klik Buat Cakupan Tim. Jika tidak, lanjutkan ke bagian berikut untuk menambahkan cluster ke cakupan.

Menambahkan cluster ke cakupan tim

Untuk mengaitkan cluster dengan cakupan tim, cluster harus berupa anggota fleet yang sudah ada. Jika Anda perlu menambahkan cluster ke fleet, ikuti petunjuk untuk jenis cluster Anda di Membuat fleet untuk mendaftarkan cluster. Pastikan cluster yang baru didaftarkan dikonfigurasi untuk menggunakan Google Grup untuk kontrol akses, seperti yang dijelaskan sebelumnya.

Cluster anggota fleet dapat ditambahkan ke sejumlah cakupan tim dalam project host fleet-nya, sehingga tim yang berbeda dapat menjalankan workload di cluster yang sama.

  1. Di halaman Dasar-Dasar Tim, setelah menambahkan anggota tim ke cakupan Anda, klik Lanjutkan.
  2. Di halaman Clusters, Anda dapat memilih cluster fleet untuk dikaitkan dengan cakupan tim ini. Di drop-down Cluster, centang cluster yang ingin Anda tambahkan, lalu klik Oke.

Membuat namespace fleet

Anggota tim dapat menggunakan namespace fleet seperti namespace Kubernetes lainnya. Saat Anda membuat namespace fleet, namespace Kubernetes yang sesuai akan dibuat di semua cluster dalam cakupan tim, jika belum ada.

  1. Di halaman Cluster, setelah menambahkan cluster ke cakupan tim Anda, klik Lanjutkan.
  2. Di halaman Namespaces, klik Add Namespace.
    • Untuk Nama, masukkan nama unik untuk namespace dalam armada, atau nama namespace yang ada jika Anda ingin mengaktifkan namespace tersebut. Pastikan nama tidak bertentangan dengan batasan penamaan namespace armada.
  3. Untuk menambahkan lebih banyak namespace armada ke cakupan, ulangi langkah sebelumnya.
  4. Untuk membuat cakupan tim, klik Buat Cakupan Tim. Setelah cakupan tim dibuat, Anda dapat melihat dan mengedit cakupan tim jika perlu dengan mengklik namanya di bagian Tim.

Terraform

Bagian ini menunjukkan cara menyiapkan tim baru menggunakan Terraform. Untuk informasi selengkapnya dan contoh lainnya, lihat dokumentasi referensi untuk resource berikut:

Membuat cakupan tim

Untuk membuat cakupan tim, Anda dapat menggunakan blok berikut dalam konfigurasi Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Ganti kode berikut:

  • TF_SCOPE_RESOURCE_NAME: nama yang Anda pilih untuk mengidentifikasi resource Terraform google_gke_hub_scope yang dibuat oleh blok ini secara unik.
  • SCOPE_NAME: nama identifikasi unik untuk cakupan tim Anda.

Menambahkan cluster ke cakupan

Hanya anggota fleet yang sudah ada yang dapat ditambahkan ke cakupan tim. Jika Anda perlu menambahkan cluster ke fleet, ikuti petunjuk untuk jenis cluster Anda di Membuat fleet untuk mendaftarkan cluster. Pastikan cluster yang baru didaftarkan dikonfigurasi untuk menggunakan Google Grup untuk kontrol akses, seperti yang dijelaskan sebelumnya.

Untuk menambahkan cluster ke cakupan tim, gunakan blok berikut dalam konfigurasi Anda:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Ganti kode berikut:

  • TF_MEMBERSHIP_BINDING_RESOURCE_NAME: nama untuk mengidentifikasi resource google_gke_hub_membership_binding yang dibuat oleh blok ini.
  • BINDING_NAME: nama yang merepresentasikan hubungan antara cluster dan cakupan. Sebaiknya gunakan MEMBERSHIP_NAME-SCOPE_NAME.
  • SCOPE_NAME: nama cakupan tim Anda.
  • MEMBERSHIP_NAME: ID unik cluster dalam fleet (biasanya nama cluster).
  • MEMBERSHIP_LOCATION: lokasi keanggotaan cluster.

Membuat namespace fleet

Anggota tim dapat menggunakan namespace fleet seperti namespace Kubernetes lainnya. Anda dapat membuat namespace baru, atau mengaktifkan namespace yang sudah ada. Saat Anda membuat namespace fleet, namespace Kubernetes yang sesuai akan dibuat di semua cluster dalam cakupan tim, jika belum ada.

Untuk membuat namespace fleet, gunakan blok berikut dalam konfigurasi Anda:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Ganti kode berikut:

  • TF_NAMESPACE_RESOURCE_NAME: nama untuk mengidentifikasi resource google_gke_hub_namespace yang dibuat oleh blok ini.
  • NAMESPACE_NAME: nama unik yang telah Anda pilih untuk namespace fleet. Pastikan nama ini tidak bertentangan dengan batasan penamaan namespace fleet.
  • SCOPE_NAME: nama cakupan tim tempat namespace fleet dibuat.

Memberikan akses cakupan

Menggunakan peran bawaan

Seperti yang dijelaskan di bagian sebelumnya, anggota tim dapat diberi akses ke cakupan mereka menggunakan persona izin yang mencakup izin IAM dan RBAC. Misalnya, berikut konfigurasi untuk memberikan akses kepada pengguna perorangan ke cakupan tim:

module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
  source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role = "ROLE"
}

Ganti kode berikut:

  • TF_SCOPE_RESOURCE_NAME: nama cakupan.
  • BINDING_NAME: nama untuk merepresentasikan binding ini.
  • SCOPE_NAME: nama cakupan tim.
  • USER_EMAIL: alamat email pengguna.
  • ROLE: persona yang ingin Anda berikan kepada pengguna, yang dapat berupa ADMIN, EDIT, atau VIEW.

Untuk memberikan akses Google Grup ke cakupan tim, gunakan group, bukan user, dalam konfigurasi sebelumnya, dan gunakan alamat email untuk Google Grup tim.

Menggunakan peran kustom

Untuk menggunakan peran kustom, Anda harus menambahkan peran kustom ke fitur armada rbacrolebindingactuation terlebih dahulu:

resource "google_gke_hub_feature" "rbacrolebindingactuation" {
  name = "rbacrolebindingactuation"
  location = "global"
  spec {
    rbacrolebindingactuation {
      allowed_custom_roles = ["CUSTOM_ROLE"]
    }
  }
}

Konfigurasi berikut memberikan akses RBAC pengguna perorangan ke cakupan tim:

resource "google_gke_hub_scope_rbac_role_binding" "BINDING_NAME" {
  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role {
    custom_role = "CUSTOM_ROLE"
  }
  depends_on = [google_gke_hub_feature.rbacrolebindingactuation]
}

Ganti kode berikut:

  • BINDING_NAME: nama untuk merepresentasikan binding ini.
  • SCOPE_NAME: nama cakupan tim.
  • USER_EMAIL: alamat email pengguna.
  • CUSTOM_ROLE: ClusterRole Kubernetes yang telah ditambahkan ke daftar yang diizinkan dalam fitur rbacrolebindingactuation. Agar fitur berfungsi sebagaimana mestinya, ClusterRole harus ada di setiap cluster yang ditambahkan ke cakupan. Namun, resource tetap dibuat meskipun ClusterRole tidak ada.

Izin IAM level project dan level cakupan tambahan diperlukan dan dapat ditambahkan dengan mengikuti contoh terraform binding operator.

Mengakses namespace armada

Setelah penyiapan selesai, anggota tim dapat mengakses namespace dalam cakupan mereka dengan mendapatkan kredensial cluster yang relevan. Untuk mendapatkan kredensial bagi cluster anggota fleet menggunakan Connect Gateway, jalankan perintah berikut, dengan MEMBERSHIP_NAME adalah nama keanggotaan fleet cluster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Untuk mengetahui detail selengkapnya, lihat Menggunakan Connect Gateway.

Mengelola cakupan tim

Gunakan perintah berikut untuk mengelola cakupan tim.

gcloud

Mencantumkan cakupan tim

Untuk mencantumkan semua cakupan dalam armada, jalankan perintah berikut:

gcloud container fleet scopes list

Untuk mencantumkan semua cakupan yang terkait dengan cluster, jalankan perintah berikut:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Menghapus cluster dari cakupan tim

Untuk menghapus cluster dari cakupan, jalankan perintah berikut:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Menghapus cakupan tim

Untuk menghapus cakupan dari armada Anda, jalankan perintah berikut:

gcloud container fleet scopes delete SCOPE_NAME

Konsol

Mencantumkan cakupan tim

Untuk melihat semua cakupan dalam fleet, dengan project host fleet yang dipilih, buka bagian Teams di konsol Google Cloud .

Buka Tim

Halaman Teams menampilkan daftar semua cakupan tim yang dibuat untuk fleet Anda. Untuk setiap cakupan, Anda dapat melihat ringkasan pemanfaatan resource selama jangka waktu yang ditentukan, serta perkiraan biaya bulanan, jumlah error, dan jumlah mulai ulang penampung.

Anda dapat melihat metrik pemanfaatan terkait biaya yang lebih mendetail dengan mengklik Pengoptimalan Biaya.

Melihat detail cakupan tim

Untuk setiap cakupan tim, Anda dapat melihat detail termasuk label yang terkait dengan cakupan tersebut, anggota tim, dan log cakupan tim.

  1. Di halaman Tim, klik cakupan tim yang detailnya ingin Anda lihat.
  2. Di tab Tim, Anda dapat melihat label cakupan, jika ada, dan melihat anggota tim.
  3. Klik tab Monitoring untuk melihat metrik pemanfaatan resource untuk tim.
  4. Klik tab Cluster untuk melihat cluster cakupan tim.
  5. Klik tab Namespaces untuk melihat namespace armada dalam cakupan tim ini.
  6. Klik tab Logs untuk melihat log cakupan tim.

Menambahkan atau menghapus cluster dalam cakupan tim

Untuk menambahkan atau menghapus cluster dalam cakupan tim yang ada:

  1. Buka halaman Teams di konsol Google Cloud :

    Buka Tim

  2. Pilih cakupan tim tempat Anda ingin menambahkan atau menghapus cluster. Tab Cluster menampilkan daftar cluster yang saat ini terikat ke cakupan.

Untuk menambahkan cluster ke cakupan tim:

  1. Di bagian atas halaman, klik Tambahkan Kelompok.
  2. Di drop-down Clusters, pilih cluster yang ingin Anda tambahkan ke cakupan, lalu klik OK.
  3. Klik Perbarui Cakupan Tim.

Untuk menghapus cluster dari cakupan tim:

  1. Pilih tab Clusters yang menampilkan daftar cluster yang saat ini terikat ke cakupan.
  2. Klik ikon Sampah di samping kelompok yang ingin Anda hapus, lalu klik Hapus untuk mengonfirmasi penghapusan.

Menghapus cakupan

  1. Buka halaman Teams di konsol Google Cloud :

    Buka Tim

  2. Pilih cakupan tim yang ingin Anda hapus.

  3. Untuk menghapus cakupan, di bagian atas halaman, klik Hapus.

  4. Konfirmasi penghapusan dengan memasukkan nama cakupan Anda, lalu klik Hapus lagi.

Mengelola namespace fleet

gcloud

Gunakan perintah berikut untuk mengelola namespace dalam cakupan tim.

Mencantumkan namespace fleet

Untuk mencantumkan semua namespace yang dibuat menggunakan fleet scopes namespaces create dalam cakupan, jalankan perintah berikut:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Menghapus namespace fleet

Untuk menghapus namespace armada, jalankan perintah berikut:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Perhatikan bahwa hal yang terjadi saat Anda menghapus namespace armada bergantung pada cara Anda menambahkan namespace:

  • Jika Anda membuat namespace fleet baru: Perintah ini akan menghapus namespace fleet. Hal ini juga menghapus semua namespace Kubernetes yang dibuat sebagai hasil dari pembuatan namespace fleet, beserta workload-nya.
  • Jika Anda mengaktifkan namespace Kubernetes yang ada: Perintah ini akan menghapus namespace armada. Namespace asli yang Anda aktifkan tidak dihapus.

Konsol

Untuk mengelola namespace fleet dalam cakupan tim Anda:

  1. Buka halaman Teams di konsol Google Cloud :

    Buka Tim

  2. Pilih cakupan tim yang namespace armada ingin Anda kelola.

Mencantumkan namespace fleet

Di cakupan tim, pilih tab Namespace yang menampilkan daftar namespace yang dibuat dalam cakupan ini.

Melihat detail namespace

Untuk setiap namespace armada, Anda dapat melihat label yang terkait dengan namespace tersebut, serta workload dan log yang difilter menurut namespace.

  1. Pilih tab Namespaces yang menampilkan daftar namespace armada yang dibuat dalam cakupan tim.
  2. Klik namespace armada yang detailnya ingin Anda lihat.
  3. Di tab Detail, Anda dapat melihat namespace armada dan label cakupan.
    • Untuk melihat beban kerja untuk namespace ini, klik Lihat Beban Kerja.
    • Di halaman Workloads, Anda dapat melihat workload yang sudah difilter berdasarkan namespace dan cluster yang terkait dengan cakupan tim untuk namespace tersebut.
  4. Di tab Logs, Anda dapat melihat log cakupan armada menurut namespace.

Menambahkan namespace fleet ke cakupan tim

  1. Untuk menambahkan namespace fleet baru, di bagian atas halaman, klik Tambahkan Namespace.
  2. Masukkan nama namespace fleet baru, pastikan nama tersebut tidak bertentangan dengan batasan penamaan namespace fleet. Untuk menambahkan namespace lainnya, klik Tambahkan Namespace.
  3. Klik Perbarui Cakupan Tim.

Menghapus namespace fleet

  1. Pilih tab Namespaces yang menampilkan daftar namespace fleet yang dibuat dalam cakupan tim.
  2. Klik ikon Sampah di samping namespace yang ingin Anda hapus.
  3. Konfirmasi penghapusan dengan memasukkan nama namespace Anda, lalu klik Hapus lagi.

Perhatikan bahwa apa yang terjadi saat Anda melakukan tindakan ini bergantung pada cara Anda menambahkan namespace:

  • Jika Anda membuat namespace fleet baru: Namespace fleet akan dihapus. Namespace Kubernetes yang dibuat sebagai hasil dari pembuatan namespace fleet juga akan dihapus, bersama dengan workload-nya.
  • Jika Anda mengaktifkan namespace Kubernetes yang ada: Namespace fleet akan dihapus. Namun, namespace asli yang Anda aktifkan tidak dihapus.

Memperbarui nama namespace armada

Anda tidak dapat mengedit namespace armada setelah dibuat. Jika Anda perlu memperbarui nama namespace armada, hapus namespace, lalu buat yang baru dalam cakupan tim.

Mengelola akses tim

gcloud

Mencantumkan anggota tim

Untuk mencantumkan semua anggota tim yang diberi akses ke cakupan tim dengan perintah add-app-operator-binding, beserta persona izin mereka, gunakan perintah berikut:

gcloud beta container fleet scopes list-app-operator-bindings SCOPE_NAME

Ganti kode berikut:

  • SCOPE_NAME: ID unik cakupan tim.

Menghapus anggota tim

Untuk menghapus akses cakupan anggota tim (diberikan dengan add-app-operator-binding), gunakan perintah berikut:

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

atau

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Ganti kode berikut:

  • SCOPE_NAME: ID unik cakupan tim.
  • TEAM_EMAIL atau USER_EMAIL: alamat email grup atau pengguna yang ingin Anda hapus dari tim.

Jika anggota tim diberi akses dengan perintah rbacrolebindings create, gunakan perintah rbacrolebindings delete untuk menghapus anggota tim.

Memperbarui akses cakupan tim

Untuk memperbarui akses cakupan tim (misalnya, untuk memberikan peran yang berbeda kepada anggota tim, atau untuk memperbarui alamat email grup), hapus anggota tim dari cakupan seperti yang dijelaskan di bagian sebelumnya, lalu berikan akses lagi kepada mereka dengan detail baru.

Jika anggota tim diberi akses dengan perintah rbacrolebindings create, Anda dapat menggunakan perintah rbacrolebindings update sebagai gantinya untuk memperbarui akses anggota.

Konsol

Menambahkan atau menghapus anggota tim

Untuk mengelola anggota tim dalam cakupan tim:

  1. Buka halaman Teams di konsol Google Cloud :

    Buka Tim

  2. Pilih cakupan tim yang anggotanya ingin Anda kelola.

Untuk menambahkan anggota tim baru ke cakupan:

  1. Di bagian atas halaman, klik Tambahkan Anggota Tim. Ikuti petunjuk seperti yang dijelaskan di bagian Membuat cakupan tim.
  2. Klik Perbarui Cakupan Tim.

Untuk menghapus anggota tim dari cakupan:

  1. Di tab Tim, klik ikon Sampah di samping anggota tim yang ingin Anda hapus dari cakupan tim.
  2. Klik Delete untuk mengonfirmasi penghapusan.

Anda tidak dapat mengedit detail anggota tim di konsol Google Cloud . Untuk memperbarui akses cakupan di konsol Google Cloud (misalnya, untuk memberikan peran yang berbeda kepada anggota tim, atau untuk memperbarui alamat email grup), hapus anggota tim dari cakupan, lalu tambahkan lagi dengan detail baru.

Batasan penamaan namespace fleet

Nama berikut dicadangkan dan dilarang digunakan saat Anda membuat namespace armada dalam cakupan tim:

  • default
  • kube-system
  • gke-connect
  • kube-node-lease
  • kube-public
  • istio-system
  • gatekeeper-system
  • asm-system
  • config-management-system
  • anthos-creds
  • anthos-identity-service
  • capi-kubeadm-bootstrap-system
  • capi-system
  • cert-manager
  • gke-managed-metrics-server
  • gke-system
  • config-management-monitoring
  • istio-gateway
  • knative-serving
  • resource-group-system
  • gke-mcs
  • appdevexperience
  • vm-system
  • gmp-system
  • gmp-public
  • gke-gmp-system
  • gke-managed-filestorecsi
  • apigee
  • apigee-system

Kelola label

Untuk membantu Anda mengidentifikasi dan mengelola cakupan, Anda dapat menggunakan Google Cloud CLI untuk membuat dan mengelola label bagi namespace armada dan cakupan tim.

Label yang ditambahkan ke cakupan tim diwarisi oleh semua namespace armada dalam cakupan, yang berarti label tersebut dilampirkan ke semua namespace Kubernetes di cluster cakupan. Label yang ditambahkan langsung ke namespace fleet hanya dilampirkan ke namespace Kubernetes yang sesuai. Jika label cakupan tim dan label namespace armada memiliki kunci yang sama, label cakupan tim akan diprioritaskan.

Anda dapat mengerjakan beberapa pasangan nilai kunci sekaligus dengan menambahkan daftar pasangan nilai kunci yang dipisahkan koma.

Mengelola label namespace fleet

Membuat namespace fleet dengan label

Untuk membuat namespace fleet dengan label, jalankan perintah berikut:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Ganti kode berikut:

  • NAMESPACE_NAME: nama unik yang telah Anda pilih untuk namespace dalam fleet.
  • SCOPE_NAME: cakupan tim tempat Anda ingin menggunakan namespace.
  • KEY: kunci untuk pasangan nilai kunci label.
  • VALUE: nilai untuk pasangan nilai kunci label.

Menambahkan atau memperbarui label untuk namespace fleet yang ada

Untuk menambahkan atau memperbarui label untuk namespace yang ada, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Menghapus label namespace fleet

Untuk menghapus label namespace fleet tertentu, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Ganti KEY dengan daftar kunci yang dipisahkan koma untuk label yang ingin Anda hapus.

Untuk menghapus semua label namespace fleet, jalankan perintah berikut:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Mengelola label cakupan tim

Membuat cakupan tim dengan label

Untuk membuat cakupan dengan label, jalankan perintah berikut:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Ganti kode berikut:

  • SCOPE_NAME: nama identifikasi unik yang telah Anda pilih untuk cakupan tim baru Anda.
  • KEY: kunci untuk pasangan nilai kunci label.
  • VALUE: nilai untuk pasangan nilai kunci label.

Menambahkan atau memperbarui label untuk cakupan tim yang ada

Untuk menambahkan atau memperbarui label cakupan yang ada, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Menghapus label cakupan tim

Untuk menghapus label tertentu, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Ganti KEY dengan daftar kunci yang dipisahkan koma untuk label yang ingin Anda hapus.

Untuk menghapus semua label, jalankan perintah berikut:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Memecahkan masalah

Jika Anda tidak dapat memperbarui atau membuat resource pengelolaan tim fleet, pastikan GKE Enterprise API diaktifkan. Jika Anda menonaktifkan GKE Enterprise API di project host fleet setelah mengonfigurasi pengelolaan tim fleet, hal berikut akan terjadi:

  • Cakupan tim dan namespace fleet yang telah Anda buat akan terus berfungsi seperti yang diharapkan, tetapi tidak dapat diperbarui.
  • Cakupan tim dan namespace armada yang ada dapat dihapus.
  • Cakupan tim dan namespace fleet baru tidak dapat dibuat.

Apa langkah selanjutnya?