Configurare i team per il tuo parco risorse

Questa pagina è rivolta agli amministratori della piattaforma che vogliono configurare e gestire l'utilizzo del parco risorse per un team. Le funzionalità di gestione dei team del parco risorse sono disponibili solo per gli utenti che hanno abilitato GKE Enterprise.

Prima di leggere questa pagina, assicurati di avere familiarità con la gestione del team del parco risorse.

Panoramica della configurazione del team

Puoi configurare i team utilizzando Google Cloud CLI, la console Google Cloud o Terraform.

La procedura generale per configurare un team è la seguente:

  1. Seleziona o crea la flotta in cui vuoi configurare l'accesso al team e assicurati di disporre delle autorizzazioni e delle API corrette per completare la configurazione.
  2. (Facoltativo, ma consigliato) Configura il controllo dell'accesso per Google Gruppi sui cluster del parco risorse.
  3. Decidi quali utenti fanno parte del team. Un team può includere gruppi Google (consigliato) e/o singoli account.
  4. Scegli il livello di accesso alle risorse del parco risorse e del team che vuoi per ogni membro del team.
  5. Crea un ambito del team per il team.
  6. Aggiungi uno o più (o tutti) cluster membro del parco risorse all'ambito del team.
  7. Definisci gli spazi dei nomi a livello di parco risorse e associali all'ambito del team.
  8. (Facoltativo) Utilizza Config Sync per sincronizzare le risorse Kubernetes con gli ambiti e gli spazi dei nomi del team.

Il team può quindi ottenere le credenziali per accedere ai propri cluster utilizzando Connect Gateway.

Configura Google Cloud CLI

Anche se crei ambiti del team utilizzando la console Google Cloud , potresti comunque dover configurare gcloud CLI per completare alcuni prerequisiti durante la configurazione del tuo parco risorse, ad esempio l'attivazione delle API richieste.

  1. Assicurati di avere installato l'ultima versione di Google Cloud CLI, incluso il componente alpha di Google Cloud CLI. Per utilizzare i comandi di gestione dei team del parco risorse, è necessaria almeno la versione 419.0.0.

  2. Esegui questo comando per accedere a Google Cloud:

    gcloud auth login

  3. Inizializza la gcloud CLId per l'utilizzo con il progetto host del parco risorse scelto oppure esegui il seguente comando per impostare il progetto host del parco risorse come predefinito:

    gcloud config set project PROJECT_ID

    Puoi utilizzare il flag --project con uno qualsiasi dei seguenti comandi per specificare un progetto host del parco risorse diverso, se necessario.

Configurare il parco risorse

Seleziona o crea la flotta in cui vuoi configurare un nuovo team. Per linee guida ed esempi che ti aiutino a strutturare i tuoi parchi risorse, consulta Esempi di parchi risorse e le altre guide in Pianificare il parco risorse.

Se vuoi creare una nuova flotta denominata in un progetto che non ne ha già una, esegui il seguente comando (dovrai configurare prima Google Cloud CLI):

  gcloud container fleet create \
    --display-name=NAME \
    --project=FLEET_HOST_PROJECT_ID

Se non specifichi un display-name, il nuovo parco risorse viene creato con un nome visualizzato predefinito basato sul nome del progetto host del parco risorse.

Ruoli IAM richiesti

Se non disponi di roles/owner nel progetto host del parco risorse, devi disporre di roles/gkehub.admin per creare e configurare gli ambiti e gli spazi dei nomi del team. Un proprietario del progetto può concedere questo ruolo con il seguente comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member user:USER_EMAIL_ADDRESS \
    --role='roles/gkehub.admin'

Abilita API

Assicurati che nel progetto host del parco risorse siano abilitate tutte le API richieste, inclusa l'API GKE Enterprise:

gcloud services enable --project=PROJECT_ID \
   gkehub.googleapis.com \
   container.googleapis.com \
   connectgateway.googleapis.com \
   cloudresourcemanager.googleapis.com \
   iam.googleapis.com \
   anthos.googleapis.com

Se disabiliti l'API GKE Enterprise dopo aver configurato la gestione dei team del parco risorse, alcuni aspetti della funzionalità continueranno a funzionare, ma non potrai aggiornare o creare ambiti del team o spazi dei nomi del parco risorse.

Configurare i cluster per controllo dell'accesso con Google Gruppi

Sebbene tu possa configurare l'accesso di un team utilizzando il controllo dell'accesso basato sui ruoli ai cluster membri del parco risorse utente per utente senza alcuna configurazione aggiuntiva del cluster, ti consigliamo di concedere ai membri del team l'accesso ai cluster in base alla loro appartenenza a un gruppo Google del team. L'autorizzazione basata sull'appartenenza a un gruppo significa che non devi configurare un'autorizzazione separata per ogni account, il che rende le policy più semplici da gestire e controllare e non è più necessario aggiungere/rimuovere manualmente i singoli utenti dai cluster quando entrano a far parte del team o lo lasciano. Utilizza le seguenti guide per assicurarti che i cluster che vuoi assegnare agli ambiti del team possano utilizzare Google Gruppi con il gateway di connessione per il controllo dell'accesso'accesso:

Configura un nuovo team

Le istruzioni riportate di seguito mostrano come creare un nuovo ambito del team per un team.

Scegliere le autorizzazioni di accesso del team

Per prima cosa, decidi o scopri quali utenti compongono il tuo team. Una parte importante della configurazione del team è la concessione ai membri del team dell'accesso al parco risorse, inclusa la possibilità di visualizzare i cluster nella console Google Cloud e i log nell'ambito del team. A seconda del ruolo del membro del team, potresti anche voler delegare la possibilità di creare spazi dei nomi nell'ambito del team (disponibile in gkehub.ScopeAdmin o gkehub.ScopeEditor) o consentirgli di aggiornare i binding dei ruoli RBAC (solo gkehub.ScopeAdmin).

Per semplificare questa configurazione, la gestione dei team della flotta fornisce tre profili di autorizzazione predefiniti tra cui scegliere, che includono un insieme completo di autorizzazioni IAM e Kubernetes RBAC di cui un amministratore, un editor o un visualizzatore dell'ambito del team potrebbe aver bisogno quando lavora con il proprio ambito. In alternativa, puoi selezionare un ruolo personalizzato con autorizzazioni RBAC personalizzate su un cluster. Puoi quindi assegnare queste buyer persona ai membri del team durante la configurazione del team, come descritto nella sezione seguente.

La tabella seguente mostra quali autorizzazioni di ogni tipo vengono concesse a ogni persona:

Descrizione Tipo Persona Amministratore ambito Persona dell'editor di ambito Persona del visualizzatore ambito Persona del ruolo personalizzato

Accesso all'ambito del team e ai relativi spazi dei nomi.

 Associazione IAM nell'ambito del team roles/gkehub.scopeAdmin roles/gkehub.scopeEditor roles/gkehub.scopeViewer roles/gkehub.scopeViewer

Accesso al progetto host del parco risorse, incluse metriche, operazioni di lunga durata e gateway Connect.

 Associazione IAM al progetto host del parco risorse roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeEditorProjectLevel roles/gkehub.scopeViewerProjectLevel roles/gkehub.scopeEditorProjectLevel

Accesso al bucket di log dell'ambito del team.

 Binding IAM sul progetto host del parco risorse (con la condizione che la risorsa a cui si accede sia il nome del bucket). roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor roles/logging.viewAccessor

Accesso alle risorse Kubernetes all'interno dei cluster dell'ambito.

 RBAC Binding nell'ambito applicato agli spazi dei nomi dell'ambito del team. Ruolo predefinito di Kubernetes: admin Ruolo predefinito di Kubernetes: modifica Ruolo predefinito di Kubernetes: visualizzazione ClusterRole definito dall'utente

Come accennato nella sezione precedente, ti consigliamo di concedere ai membri del team l'accesso alle loro risorse in base all'appartenenza a un gruppo Google, anche se la gestione del team ti consente anche di concedere l'accesso a singoli utenti.

Se questi profili non soddisfano completamente le tue esigenze, puoi anche associare singolarmente i ruoli IAM (utilizzando gcloud container fleet scopes add-iam-policy-binding) e RBAC (utilizzando gcloud container fleet scopes rbacrolebindings create). Consulta la documentazione di riferimento di Google Cloud CLI per altri comandi che puoi utilizzare per gestire questi binding.

Configurare un ambito del team

gcloud

Crea un ambito del team

Per creare un nuovo ambito del team in un parco risorse, esegui il comando seguente, dove SCOPE_NAME è il nome di identificazione univoco che hai scelto per il nuovo ambito:

gcloud container fleet scopes create SCOPE_NAME

Aggiungere cluster a un ambito del team

Solo i membri della flotta esistenti possono essere aggiunti agli ambiti del team. Queste istruzioni presuppongono che il cluster che vuoi aggiungere all'ambito sia già un membro del parco risorse. Se devi aggiungere il cluster al tuo parco risorse, segui le istruzioni per il tuo tipo di cluster in Crea il tuo parco risorse per registrare il cluster. Assicurati che il cluster appena registrato sia configurato per utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Un cluster membro del parco risorse può essere aggiunto a un numero qualsiasi di ambiti del team nel progetto host del parco risorse.

Per aggiungere un cluster a un ambito del team, esegui questo comando:

gcloud container fleet memberships bindings create BINDING_NAME \
  --membership MEMBERSHIP_NAME \
  --scope  SCOPE_NAME \
  --location MEMBERSHIP_LOCATION

Sostituisci quanto segue:

  • BINDING_NAME: un nome che rappresenta la relazione tra il cluster e l'ambito del team. Ti consigliamo di utilizzare MEMBERSHIP_NAME-SCOPE_NAME.
  • MEMBERSHIP_NAME: l'identificatore univoco del cluster all'interno del fleet (in genere il nome del cluster).
  • (facoltativo) MEMBERSHIP_LOCATION: la posizione dell'appartenenza al cluster. Se lo ometti, il valore è global, che è il valore predefinito per le registrazioni dei cluster.

Crea spazi dei nomi del parco risorse

Per creare uno spazio dei nomi in un ambito di gruppo, esegui questo comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME --scope=SCOPE_NAME

Sostituisci quanto segue:

Questo comando crea uno spazio dei nomi Kubernetes denominato NAMESPACE_NAME in ogni cluster nell'ambito del team. I membri del team possono utilizzare NAMESPACE_NAME come qualsiasi altro spazio dei nomi Kubernetes dopo che avrai concesso loro l'accesso al loro ambito. Se hai già uno spazio dei nomi Kubernetes esistente chiamato NAMESPACE_NAME nell'ambito del team, questo viene considerato parte del nuovo spazio dei nomi del parco risorse. A volte questo processo viene definito onboarding dello spazio dei nomi.

Concedere ai membri del team l'accesso all'ambito del team

Utilizzare i ruoli predefiniti

Successivamente, assicurati che i gruppi Google pertinenti dispongano delle autorizzazioni IAM e RBAC appropriate configurate per funzionare con il nuovo ambito:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --group=TEAM_EMAIL --project PROJECT_ID
  • PROJECT_ID è l'ID del progetto host del parco risorse
  • TEAM_EMAIL è l'indirizzo email di un gruppo Google di un team.
  • SCOPE_ID è l'ID dell'ambito creato
  • ROLE è la persona con autorizzazioni che il gruppo ha nell'ambito del team. I valori per questo parametro possono essere admin (amministratore dell'ambito), edit (editor dell'ambito) o view (visualizzatore dell'ambito).

Se devi concedere a un singolo utente l'accesso all'ambito, esegui questo comando, dove USER_EMAIL è l'indirizzo email dell'ID Google dell'utente:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --role=ROLE --user=USER_EMAIL --project PROJECT_ID

Utilizzo dei ruoli personalizzati

Per utilizzare un ruolo personalizzato, devi prima aggiungerlo alla funzionalità della flotta rbacrolebindingactuation:

gcloud container fleet rbacrolebindingactuation update --allowed-custom-roles CUSTOM_ROLE --project PROJECT_ID

Successivamente, assicurati che i gruppi Google pertinenti dispongano delle autorizzazioni IAM e RBAC appropriate configurate per funzionare con il nuovo ambito:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --group=TEAM_EMAIL --project PROJECT_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto host del parco risorse.
  • TEAM_EMAIL: l'indirizzo email di un gruppo Google di un team.
  • SCOPE_ID : l'ID dell'ambito creato.
  • CUSTOM_ROLE: un ClusterRole Kubernetes che è stato aggiunto alla lista consentita nella funzionalità rbacrolebindingactuation. Affinché la funzionalità funzioni come previsto, ClusterRole deve esistere su ogni cluster aggiunto all'ambito. Tuttavia, le risorse vengono comunque create anche quando ClusterRole non è presente.

Se devi concedere a un singolo utente l'accesso all'ambito, esegui questo comando, dove USER_EMAIL è l'indirizzo email dell'ID Google dell'utente:

gcloud beta container fleet scopes add-app-operator-binding SCOPE_ID
        --custom-role=CUSTOM_ROLE --user=USER_EMAIL --project PROJECT_ID

Console

Crea un ambito del team

  1. Con il progetto host del parco veicoli selezionato, vai alla sezione Team nella console Google Cloud .

    Vai a Team

  2. Nella parte superiore della pagina, fai clic su Crea ambito del team.

  3. Nella pagina Team Basics (Elementi di base del team), inserisci un nome univoco per l'ambito del team nel campo Name (Nome). Non potrai modificare questo nome dopo aver creato l'ambito del team.

  4. Per aggiungere membri del team all'ambito, fai clic su Aggiungi membro del team.

    • Per Tipo, seleziona Utente per aggiungere un singolo membro del team o Gruppo per aggiungere un gruppo Google (opzione consigliata).
    • Per Utente o gruppo, digita l'indirizzo email del membro del team o del gruppo.
    • Per Ruolo, seleziona Amministratore ambito, Editor ambito o Visualizzatore ambito, che configurano più associazioni IAM e RBAC nell'ambito e nel parco risorse, come descritto in Scegliere le autorizzazioni di accesso del team.

  5. Per creare l'ambito del team senza aggiungere cluster e spazi dei nomi in questa fase, fai clic su Crea ambito del team. In caso contrario, continua con la sezione seguente per aggiungere cluster all'ambito.

Aggiungi cluster all'ambito del team

Per associare un cluster a un ambito del team, il cluster deve essere un membro del parco risorse esistente. Se devi aggiungere il cluster al tuo parco risorse, segui le istruzioni per il tuo tipo di cluster in Crea il tuo parco risorse per registrare il cluster. Assicurati che il cluster appena registrato sia configurato per utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Un cluster membro del parco risorse può essere aggiunto a un numero qualsiasi di ambiti del team nel progetto host del parco risorse, consentendo a team diversi di eseguire carichi di lavoro sullo stesso cluster.

  1. Nella pagina Elementi di base del team, dopo aver aggiunto i membri del team all'ambito, fai clic su Continua.
  2. Nella pagina Cluster, puoi selezionare i cluster del parco risorse da associare a questo ambito del team. Nel menu a discesa Cluster, seleziona i cluster che vuoi aggiungere e fai clic su Ok.

Crea spazi dei nomi del parco risorse

I membri del team possono utilizzare gli spazi dei nomi del parco risorse come qualsiasi altro spazio dei nomi Kubernetes. Quando crei uno spazio dei nomi del parco risorse, viene creato uno spazio dei nomi Kubernetes corrispondente in tutti i cluster nell'ambito del team, se non esiste già.

  1. Nella pagina Cluster, dopo aver aggiunto i cluster all'ambito del team, fai clic su Continua.
  2. Nella pagina Spazi dei nomi, fai clic su Aggiungi spazio dei nomi.
  3. Per aggiungere altri spazi dei nomi del parco risorse all'ambito, ripeti il passaggio precedente.
  4. Per creare l'ambito team, fai clic su Crea ambito team. Una volta creato l'ambito del team, puoi visualizzarlo e modificarlo, se necessario, facendo clic sul relativo nome nella sezione Team.

Terraform

Questa sezione mostra come configurare un nuovo team utilizzando Terraform. Per ulteriori informazioni e altri esempi, consulta la documentazione di riferimento per le seguenti risorse:

Crea un ambito del team

Per creare un ambito del team, puoi utilizzare il seguente blocco nella configurazione di Terraform.

  resource "google_gke_hub_scope" "TF_SCOPE_RESOURCE_NAME" {
    scope_id = "SCOPE_NAME"
  }

Sostituisci quanto segue:

  • TF_SCOPE_RESOURCE_NAME: il nome che scegli per identificare in modo univoco la risorsa Terraform google_gke_hub_scope creata da questo blocco.
  • SCOPE_NAME: un nome identificativo univoco per l'ambito del team.

Aggiungi cluster all'ambito

Solo i membri della flotta esistenti possono essere aggiunti agli ambiti del team. Se devi aggiungere il cluster al tuo parco risorse, segui le istruzioni per il tuo tipo di cluster in Crea il tuo parco risorse per registrare il cluster. Assicurati che il cluster appena registrato sia configurato per utilizzare Google Gruppi per il controllo dell'accesso, come descritto in precedenza.

Per aggiungere un cluster a un ambito del team, utilizza il seguente blocco nella configurazione:

  resource "google_gke_hub_membership_binding" "TF_MEMBERSHIP_BINDING_RESOURCE_NAME" {
    membership_binding_id = "BINDING_NAME"
    scope = SCOPE_NAME
    membership_id = MEMBERSHIP_NAME
    location = "MEMBERSHIP_LOCATION"
  }

Sostituisci quanto segue:

  • TF_MEMBERSHIP_BINDING_RESOURCE_NAME: un nome per identificare la risorsa google_gke_hub_membership_binding creata da questo blocco.
  • BINDING_NAME: un nome che rappresenta la relazione tra il cluster e l'ambito. Ti consigliamo di utilizzare MEMBERSHIP_NAME-SCOPE_NAME.
  • SCOPE_NAME: il nome dell'ambito del team.
  • MEMBERSHIP_NAME: l'identificatore univoco del cluster all'interno del fleet (in genere il nome del cluster).
  • MEMBERSHIP_LOCATION: la posizione dell'iscrizione al cluster.

Crea spazi dei nomi del parco risorse

I membri del team possono utilizzare gli spazi dei nomi del parco risorse come qualsiasi altro spazio dei nomi Kubernetes. Puoi creare uno spazio dei nomi nuovo o inserire uno spazio dei nomi esistente. Quando crei uno spazio dei nomi del parco risorse, viene creato uno spazio dei nomi Kubernetes corrispondente in tutti i cluster nell'ambito del team, se non esiste già.

Per creare uno spazio dei nomi del parco, utilizza il seguente blocco nella configurazione:

  resource "google_gke_hub_namespace" "TF_NAMESPACE_RESOURCE_NAME" {
    scope_namespace_id = "NAMESPACE_NAME"
    scope_id = SCOPE_NAME
    scope = SCOPE_NAME
  }

Sostituisci quanto segue:

  • TF_NAMESPACE_RESOURCE_NAME: un nome per identificare la risorsa google_gke_hub_namespace creata da questo blocco.
  • NAMESPACE_NAME: un nome univoco che hai scelto per lo spazio dei nomi del parco risorse. Assicurati che questo nome non sia in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco veicoli.
  • SCOPE_NAME: il nome dell'ambito del team in cui viene creato lo spazio dei nomi del parco.

Concedi l'accesso all'ambito

Utilizzare i ruoli predefiniti

Come descritto nella sezione precedente, ai membri del team può essere concesso l'accesso al proprio ambito utilizzando persona con autorizzazioni che includono sia le autorizzazioni IAM che RBAC. Ad esempio, ecco una configurazione per concedere a un singolo utente l'accesso a un ambito del team:

module "TF_SCOPE_RESOURCE_NAME_USER_EMAIL" {
  source           = "terraform-google-modules/kubernetes-engine/google//modules/fleet-app-operator-binding"

  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role = "ROLE"
}

Sostituisci quanto segue:

  • TF_SCOPE_RESOURCE_NAME: il nome dell'ambito.
  • BINDING_NAME: un nome per rappresentare questa associazione.
  • SCOPE_NAME: il nome dell'ambito del team.
  • USER_EMAIL: l'indirizzo email dell'utente.
  • ROLE: la persona che vuoi concedere all'utente, che può essere ADMIN, EDIT o VIEW.

Per concedere a un gruppo Google l'accesso a un ambito del team, utilizza group anziché user nella configurazione precedente e utilizza l'indirizzo email del gruppo Google del team.

Utilizzo dei ruoli personalizzati

Per utilizzare un ruolo personalizzato, devi prima aggiungerlo alla funzionalità della flotta rbacrolebindingactuation:

resource "google_gke_hub_feature" "rbacrolebindingactuation" {
  name = "rbacrolebindingactuation"
  location = "global"
  spec {
    rbacrolebindingactuation {
      allowed_custom_roles = ["CUSTOM_ROLE"]
    }
  }
}

La seguente configurazione concede l'accesso RBAC a un ambito del team per singoli utenti:

resource "google_gke_hub_scope_rbac_role_binding" "BINDING_NAME" {
  scope_id = "SCOPE_NAME"
  user = "USER_EMAIL"
  role {
    custom_role = "CUSTOM_ROLE"
  }
  depends_on = [google_gke_hub_feature.rbacrolebindingactuation]
}

Sostituisci quanto segue:

  • BINDING_NAME: un nome per rappresentare questa associazione.
  • SCOPE_NAME: il nome dell'ambito del team.
  • USER_EMAIL: l'indirizzo email dell'utente.
  • CUSTOM_ROLE: il ClusterRole Kubernetes che è stato aggiunto alla lista consentita nella funzionalità rbacrolebindingactuation. Affinché la funzionalità funzioni come previsto, ClusterRole deve esistere su ogni cluster aggiunto all'ambito. Tuttavia, le risorse vengono comunque create anche quando ClusterRole non è presente.

Sono necessarie ulteriori autorizzazioni IAM a livello di progetto e ambito, che possono essere aggiunte seguendo gli esempi Terraform di binding dell'operatore.

Accedere agli spazi dei nomi del parco risorse

Una volta completata la configurazione, i membri del team possono accedere agli spazi dei nomi nel loro ambito ottenendo le credenziali del cluster pertinenti. Per ottenere le credenziali per un cluster membro del parco risorse utilizzando Connect Gateway, esegui il comando seguente, dove MEMBERSHIP_NAME è il nome dell'appartenenza al parco risorse del cluster:

   gcloud container fleet memberships get-credentials  MEMBERSHIP_NAME

Per maggiori dettagli, vedi Utilizzo del gateway di connessione.

Gestisci gli ambiti del team

Utilizza i seguenti comandi per gestire gli ambiti del team.

gcloud

Elenca gli ambiti del team

Per elencare tutti gli ambiti in un parco risorse, esegui questo comando:

gcloud container fleet scopes list

Per elencare tutti gli ambiti associati a un cluster, esegui questo comando:

gcloud container fleet memberships bindings list --membership MEMBERSHIP_NAME

Rimuovi i cluster dagli ambiti del team

Per rimuovere un cluster da un ambito, esegui questo comando:

gcloud container fleet memberships bindings delete BINDING_NAME --membership MEMBERSHIP_NAME

Eliminare un ambito del team

Per eliminare un ambito dal tuo parco risorse, esegui questo comando:

gcloud container fleet scopes delete SCOPE_NAME

Console

Elenca gli ambiti del team

Per visualizzare tutti gli ambiti in una flotta, con il progetto host della flotta selezionato, vai alla sezione Team nella console Google Cloud .

Vai a Team

La pagina Team mostra un elenco di tutti gli ambiti del team creati per la tua flotta. Per ogni ambito, puoi visualizzare un riepilogo dell'utilizzo delle risorse nel periodo di tempo specificato, nonché il costo mensile stimato, il numero di errori e il numero di riavvii dei container.

Puoi visualizzare metriche di utilizzo più dettagliate relative ai costi facendo clic su Ottimizzazione dei costi.

Visualizza i dettagli dell'ambito del team

Per ogni ambito del team, puoi visualizzare i dettagli, incluse le etichette associate all'ambito, i membri del team e i log con ambito del team.

  1. Nella pagina Team, fai clic sull'ambito del team di cui vuoi visualizzare i dettagli.
  2. Nella scheda Team, puoi visualizzare le etichette di ambito, se presenti, e i membri del team.
  3. Fai clic sulla scheda Monitoraggio per visualizzare le metriche di utilizzo delle risorse per il team.
  4. Fai clic sulla scheda Cluster per visualizzare i cluster dell'ambito del team.
  5. Fai clic sulla scheda Spazi dei nomi per visualizzare gli spazi dei nomi del parco risorse in questo ambito del team.
  6. Fai clic sulla scheda Log per visualizzare i log dell'ambito del team.

Aggiungere o eliminare cluster in un ambito del team

Per aggiungere o eliminare cluster in un ambito del team esistente:

  1. Vai alla pagina Team nella console Google Cloud :

    Vai a Team

  2. Seleziona l'ambito del team in cui vuoi aggiungere o eliminare i cluster. La scheda Cluster mostra un elenco dei cluster attualmente associati all'ambito.

Per aggiungere cluster a un ambito del team:

  1. Nella parte superiore della pagina, fai clic su Aggiungi cluster.
  2. Nel menu a discesa Cluster, seleziona i cluster che vuoi aggiungere all'ambito e fai clic su Ok.
  3. Fai clic su Aggiorna ambito del team.

Per eliminare i cluster da un ambito del team:

  1. Seleziona la scheda Cluster, che mostra un elenco dei cluster attualmente associati all'ambito.
  2. Fai clic sull'icona del cestino accanto al cluster da eliminare e poi su Rimuovi per confermare l'eliminazione.

Eliminare un ambito

  1. Vai alla pagina Team nella console Google Cloud :

    Vai a Team

  2. Seleziona l'ambito del team che vuoi eliminare.

  3. Per eliminare l'ambito, fai clic su Elimina nella parte superiore della pagina.

  4. Conferma l'eliminazione inserendo il nome dell'ambito e fai di nuovo clic su Elimina.

Gestisci gli spazi dei nomi del parco risorse

gcloud

Utilizza i seguenti comandi per gestire gli spazi dei nomi all'interno degli ambiti del team.

Elenca gli spazi dei nomi del parco risorse

Per elencare tutti gli spazi dei nomi creati utilizzando fleet scopes namespaces create in un ambito, esegui questo comando:

gcloud container fleet scopes namespaces list --scope=SCOPE_NAME

Eliminare uno spazio dei nomi del parco risorse

Per eliminare uno spazio dei nomi del parco risorse, esegui questo comando:

gcloud container fleet scopes namespaces delete NAMESPACE_NAME --scope=SCOPE_NAME

Tieni presente che ciò che accade quando elimini uno spazio dei nomi del parco risorse dipende da come lo hai aggiunto:

  • Se hai creato un nuovo spazio dei nomi del parco risorse:questo comando elimina lo spazio dei nomi del parco risorse. Elimina anche tutti gli spazi dei nomi Kubernetes creati in seguito alla creazione dello spazio dei nomi del parco risorse, insieme ai relativi carichi di lavoro.
  • Se hai eseguito l'onboarding di uno spazio dei nomi Kubernetes esistente:questo comando elimina lo spazio dei nomi del parco risorse. Lo spazio dei nomi originale di cui hai eseguito l'onboarding non viene eliminato.

Console

Per gestire gli spazi dei nomi del parco risorse nell'ambito del team:

  1. Vai alla pagina Team nella console Google Cloud :

    Vai a Team

  2. Seleziona l'ambito del team di cui vuoi gestire gli spazi dei nomi del parco veicoli.

Elenca gli spazi dei nomi del parco risorse

Nell'ambito del team, seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi creati in questo ambito.

Visualizzare i dettagli dello spazio dei nomi

Per ogni spazio dei nomi del parco risorse, puoi visualizzare le etichette associate a quello spazio dei nomi, nonché i workload e i log filtrati per spazio dei nomi.

  1. Seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi del parco risorse creati nell'ambito del team.
  2. Fai clic sullo spazio dei nomi del parco veicoli di cui vuoi visualizzare i dettagli.
  3. Nella scheda Dettagli, puoi visualizzare le etichette di ambito e spazio dei nomi del parco veicoli.
    • Per visualizzare i carichi di lavoro per questo spazio dei nomi, fai clic su Visualizza carichi di lavoro.
    • Nella pagina Workload, puoi vedere i workload già filtrati per lo spazio dei nomi e i cluster associati all'ambito del team per quello spazio dei nomi.
  4. Nella scheda Log, puoi visualizzare i log dell'ambito del parco risorse per spazio dei nomi.

Aggiungere spazi dei nomi del parco risorse a un ambito del team

  1. Per aggiungere un nuovo spazio dei nomi del parco risorse, fai clic su Aggiungi spazi dei nomi nella parte superiore della pagina.
  2. Inserisci il nome del nuovo spazio dei nomi del parco risorse, assicurandoti che non sia in conflitto con le limitazioni di denominazione dello spazio dei nomi del parco risorse. Per aggiungere altri spazi dei nomi, fai clic su Aggiungi spazio dei nomi.
  3. Fai clic su Aggiorna ambito del team.

Eliminare uno spazio dei nomi del parco risorse

  1. Seleziona la scheda Spazi dei nomi, che mostra un elenco degli spazi dei nomi del parco risorse creati nell'ambito del team.
  2. Fai clic sull'icona del cestino accanto allo spazio dei nomi da eliminare.
  3. Conferma l'eliminazione inserendo il nome del tuo spazio dei nomi e fai di nuovo clic su Elimina.

Tieni presente che ciò che accade quando esegui questa operazione dipende da come hai aggiunto lo spazio dei nomi:

  • Se hai creato un nuovo spazio dei nomi del parco risorse:lo spazio dei nomi del parco risorse viene eliminato. Vengono eliminati anche tutti gli spazi dei nomi Kubernetes creati in seguito alla creazione dello spazio dei nomi del parco risorse, insieme ai relativi carichi di lavoro.
  • Se hai eseguito l'onboarding di uno spazio dei nomi Kubernetes esistente:lo spazio dei nomi del parco risorse viene eliminato. Tuttavia, lo spazio dei nomi originale di cui hai eseguito l'onboarding non viene eliminato.

Aggiornare il nome di uno spazio dei nomi del parco risorse

Non puoi modificare uno spazio dei nomi del parco risorse dopo averlo creato. Se devi aggiornare il nome di uno spazio dei nomi del parco risorse, elimina lo spazio dei nomi e creane uno nuovo nell'ambito del team.

Gestire l'accesso al team

gcloud

Elenca i membri del team

Per elencare tutti i membri del team a cui è stato concesso l'accesso all'ambito del team con il comando add-app-operator-binding, insieme ai loro personaggi con autorizzazioni, utilizza il seguente comando:

gcloud beta container fleet scopes list-app-operator-bindings SCOPE_NAME

Sostituisci quanto segue:

  • SCOPE_NAME: l'identificatore univoco dell'ambito del team.

Rimuovere membri dal team

Per rimuovere l'accesso all'ambito di un membro del team (concesso con add-app-operator-binding), utilizza il seguente comando:

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --group=TEAM_EMAIL

o

gcloud beta container fleet scopes remove-app-operator-binding SCOPE_NAME \
   --user=USER_EMAIL

Sostituisci quanto segue:

  • SCOPE_NAME: l'identificatore univoco dell'ambito del team.
  • TEAM_EMAIL o USER_EMAIL: l'indirizzo email del gruppo o dell'utente che vuoi rimuovere dal team.

Se al membro del team è stato concesso l'accesso con il comando rbacrolebindings create, utilizza il comando rbacrolebindings delete per rimuoverlo.

Aggiornare l'accesso all'ambito del team

Per aggiornare l'accesso all'ambito del team (ad esempio, per concedere ai membri del team un ruolo diverso o per aggiornare un indirizzo email del gruppo), rimuovi il membro del team dall'ambito come descritto nella sezione precedente, quindi concedigli nuovamente l'accesso con i nuovi dettagli.

Se al membro del team è stato concesso l'accesso con il comando rbacrolebindings create, puoi utilizzare il comando rbacrolebindings update per aggiornare l'accesso del membro.

Console

Aggiungere o rimuovere membri del team

Per gestire i membri del team in un ambito del team:

  1. Vai alla pagina Team nella console Google Cloud :

    Vai a Team

  2. Seleziona l'ambito del team di cui vuoi gestire i membri.

Per aggiungere nuovi membri del team all'ambito:

  1. Nella parte superiore della pagina, fai clic su Aggiungi membri del team. Segui le istruzioni descritte nella sezione Creare un ambito del team.
  2. Fai clic su Aggiorna ambito del team.

Per rimuovere i membri del team dall'ambito:

  1. Nella scheda Team, fai clic sull'icona del cestino accanto al membro del team che vuoi rimuovere dall'ambito del team.
  2. Fai clic su Elimina per confermare l'eliminazione.

Non puoi modificare i dettagli di un membro del team nella console Google Cloud . Per aggiornare l'accesso all'ambito nella console Google Cloud (ad esempio, per assegnare ai membri del team un ruolo diverso o per aggiornare l'indirizzo email di un gruppo), rimuovi il membro del team dall'ambito e aggiungilo di nuovo con i nuovi dettagli.

Limitazioni di denominazione dello spazio dei nomi del parco risorse

I seguenti nomi sono riservati e vietati per l'utilizzo quando crei uno spazio dei nomi del parco risorse in un ambito del team:

  • default
  • kube-system
  • gke-connect
  • kube-node-lease
  • kube-public
  • istio-system
  • gatekeeper-system
  • asm-system
  • config-management-system
  • anthos-creds
  • anthos-identity-service
  • capi-kubeadm-bootstrap-system
  • capi-system
  • cert-manager
  • gke-managed-metrics-server
  • gke-system
  • config-management-monitoring
  • istio-gateway
  • knative-serving
  • resource-group-system
  • gke-mcs
  • appdevexperience
  • vm-system
  • gmp-system
  • gmp-public
  • gke-gmp-system
  • gke-managed-filestorecsi
  • apigee
  • apigee-system

Gestisci etichette

Per aiutarti a identificare e gestire gli ambiti, puoi utilizzare Google Cloud CLI per creare e gestire le etichette per gli spazi dei nomi del tuo parco progetti e gli ambiti del team.

Le etichette aggiunte a un ambito del team vengono ereditate da tutti gli spazi dei nomi del parco risorse nell'ambito, il che significa che vengono associate a tutti gli spazi dei nomi Kubernetes nei cluster dell'ambito. Le etichette aggiunte direttamente a uno spazio dei nomi del parco risorse vengono associate solo ai relativi spazi dei nomi Kubernetes. Se un'etichetta dell'ambito del team e un'etichetta dello spazio dei nomi del parco risorse hanno la stessa chiave, l'etichetta dell'ambito del team ha la precedenza.

Puoi lavorare su più coppie chiave-valore contemporaneamente aggiungendo un elenco di coppie chiave-valore separate da virgole.

Gestire le etichette dello spazio dei nomi del parco risorse

Crea uno spazio dei nomi del parco risorse con etichette

Per creare uno spazio dei nomi del parco risorse con etichette, esegui questo comando:

gcloud container fleet scopes namespaces create NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --namespace-labels KEY=VALUE

Sostituisci quanto segue:

  • NAMESPACE_NAME: il nome univoco che hai scelto per lo spazio dei nomi all'interno del parco risorse.
  • SCOPE_NAME: l'ambito del team in cui vuoi utilizzare lo spazio dei nomi.
  • KEY: la chiave della coppia chiave-valore dell'etichetta.
  • VALUE: il valore della coppia chiave-valore dell'etichetta.

Aggiungere o aggiornare le etichette per gli spazi dei nomi del parco risorse esistenti

Per aggiungere o aggiornare le etichette per uno spazio dei nomi esistente, esegui questo comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Elimina le etichette dello spazio dei nomi del parco risorse

Per eliminare un'etichetta dello spazio dei nomi del parco specifico, esegui questo comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --remove-namespace-labels KEY

Sostituisci KEY con un elenco separato da virgole delle chiavi delle etichette che vuoi rimuovere.

Per eliminare tutte le etichette dello spazio dei nomi del parco risorse, esegui questo comando:

gcloud container fleet scopes namespaces update NAMESPACE_NAME \
    --scope SCOPE_NAME \
    --clear-namespace-labels

Gestire le etichette dell'ambito del team

Creare un ambito del team con etichette

Per creare un ambito con un'etichetta, esegui questo comando:

gcloud container fleet scopes create SCOPE_NAME \
    --namespace-labels KEY=VALUE

Sostituisci quanto segue:

  • SCOPE_NAME: il nome identificativo univoco che hai scelto per il nuovo ambito del team.
  • KEY: la chiave della coppia chiave-valore dell'etichetta.
  • VALUE: il valore della coppia chiave-valore dell'etichetta.

Aggiungere o aggiornare le etichette per gli ambiti del team esistenti

Per aggiungere o aggiornare le etichette per un ambito esistente, esegui questo comando:

gcloud container fleet scopes update SCOPE_NAME \
    --update-namespace-labels KEY=VALUE

Elimina le etichette dell'ambito del team

Per eliminare etichette specifiche, esegui questo comando:

gcloud container fleet scopes update SCOPE_NAME \
     --remove-namespace-labels KEY

Sostituisci KEY con un elenco separato da virgole delle chiavi delle etichette che vuoi rimuovere.

Per eliminare tutte le etichette, esegui questo comando:

gcloud container fleet scopes update SCOPE_NAME \
    --clear-namespace-labels

Risoluzione dei problemi

Se non riesci ad aggiornare o creare risorse di gestione del team del parco risorse, assicurati che l'API GKE Enterprise sia abilitata. Se disabiliti l'API GKE Enterprise nel progetto host del parco risorse dopo aver configurato la gestione dei team del parco risorse, si verifica quanto segue:

  • Gli ambiti del team e gli spazi dei nomi del parco risorse che hai creato continuano a funzionare come previsto, ma non possono essere aggiornati.
  • Gli ambiti del team e gli spazi dei nomi del parco risorse esistenti possono essere eliminati.
  • Non è possibile creare nuovi ambiti del team e spazi dei nomi del parco risorse.

Passaggi successivi