Gestionar recursos de GKE con etiquetas

En esta página se explica cómo usar etiquetas para gestionar los clústeres de Google Kubernetes Engine (GKE) y aplicar de forma condicional políticas de gestión de identidades y accesos a los nodos.

Información general

Las etiquetas son pares clave-valor que te permiten anotar y gestionar tus Trusted Cloud recursos a nivel de organización o proyecto. Puedes usar etiquetas para organizar tus recursos y aplicar políticas de forma condicional, como políticas de cortafuegos o de gestión de identidades y accesos. Las etiquetas admiten el control de acceso de gestión de identidades y accesos, que te permite definir quién puede adjuntar, crear, actualizar o eliminar etiquetas.

Casos prácticos de las etiquetas en GKE

Puedes usar etiquetas en GKE en situaciones como las siguientes:

• Aplica condicionalmente políticas de cortafuegos de red a nodos específicos. Por ejemplo, denegar el tráfico de entrada de la red pública de Internet a todos los nodos de un clúster en entornos de staging o de prueba. Para obtener instrucciones, consulta Aplicar selectivamente políticas de cortafuegos de red en GKE.
• Conceder roles de gestión de identidades y accesos de forma condicional en función de las etiquetas. Por ejemplo, puedes conceder automáticamente a los contratistas acceso a entornos específicos que normalmente solo estarían disponibles para los empleados a tiempo completo. Para obtener instrucciones, consulta el resto de este documento.
• Audita y analiza la información de facturación en función de las etiquetas aplicadas a nivel de proyecto u organización.

Cómo funciona

Para aplicar políticas de cortafuegos de red específicamente, crea una etiqueta y designa explícitamente la etiqueta para usarla en el cortafuegos. Para el resto de los fines, puede crear una etiqueta sin definir una designación de cortafuegos.

Después de crear la etiqueta, la adjunta a sus recursos de GKE como un par clave-valor. En el caso de las políticas de cortafuegos de red, se usa la API de GKE, mientras que, para el resto de los casos, se usa la API Tags.

Puedes asociar un valor a cada clave de un recurso. Por ejemplo, si has adjuntado env:dev a un clúster de GKE, no puedes adjuntar env:prod ni env:test. Puedes adjuntar hasta 50 etiquetas que no sean de cortafuegos y hasta cinco etiquetas de cortafuegos a cada recurso.

Métodos de anotación de recursos en GKE

En GKE, hay varios métodos para anotar tus recursos, como se indica en la siguiente tabla:

Antes de empezar

Antes de empezar, asegúrate de que has realizado las siguientes tareas:

• Habilita la API de Google Kubernetes Engine.
Habilitar la API de Google Kubernetes Engine
• Si quieres usar Google Cloud CLI para esta tarea, instálala y, a continuación, inicialízala. Si ya has instalado la gcloud CLI, obtén la versión más reciente ejecutando gcloud components update.

• Asegúrate de que tienes los siguientes roles de gestión de identidades y accesos:

  • roles/resourcemanager.tagAdmin
  • roles/resourcemanager.tagUser

  Para obtener información sobre los permisos que conceden estos roles, consulta Permisos necesarios.

• Asegúrate de que tienes un clúster de GKE en ejecución.

Adjuntar etiquetas a un clúster

Puedes asociar etiquetas a un clúster si tienes los permisos correctos mediante la CLI de Google Cloud, la consola, la API Tags o Terraform. Trusted Cloud

gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": "RESOURCE_ID",
  "tagValue": "TAG_VALUE_ID"
}

{
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding",
    "name": "tagBindings///container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME/tagValues/TAG_VALUE_ID",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-tag"
  location = "us-central1"

  enable_autopilot = true
}

data "google_project" "default" {}

resource "google_tags_tag_key" "default" {
  parent      = "projects/${data.google_project.default.project_id}"
  short_name  = "env"
  description = "Environment tag key"
}

resource "google_tags_tag_value" "default" {
  parent      = "tagKeys/${google_tags_tag_key.default.name}"
  short_name  = "dev"
  description = "Development environment tag value."
}

resource "google_tags_location_tag_binding" "default" {
  parent    = "//container.googleapis.com/${google_container_cluster.default.id}"
  location  = google_container_cluster.default.location
  tag_value = "tagValues/${google_tags_tag_value.default.name}"
}

Mostrar las etiquetas asociadas a un clúster

Puedes consultar las etiquetas asociadas a un clúster mediante la CLI de gcloud, la Trusted Cloud consola o la API Tags.

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": RESOURCE_ID,
}

"tagBindings": [
  {
    "name": "tagBindings/%2F%2Fcontainer.googleapis.com%2Fprojects%2Ftags-bugbash-project%2Flocations%2LOCATION%2Fclusters%2Ftestcluster/tagValues/758072120217",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
]

Desasociar etiquetas de un clúster

Para desvincular una etiqueta de un clúster, elimina el recurso de vinculación de etiquetas asociado al clúster mediante la CLI de gcloud, la Trusted Cloud consola o la API Tags. Si necesitas eliminar una etiqueta, primero debes desvincularla de todos los recursos a los que esté asociada.

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAG_BINDING_NAME

Eliminar claves y valores de etiqueta

Antes de eliminar claves y valores de etiquetas, asegúrate de que las etiquetas no estén asociadas a ningún recurso. A continuación, consulta la sección sobre cómo eliminar etiquetas para eliminar las claves y los valores.

Condiciones y etiquetas de gestión de identidades y accesos

Puedes usar etiquetas y condiciones de gestión de identidades y accesos para conceder enlaces de roles de forma condicional a los usuarios de tu jerarquía de proyectos. Cuando cambias o eliminas la etiqueta asociada a un clúster, GKE puede quitar el acceso de los usuarios a ese clúster si se ha aplicado una política de permiso de IAM con enlaces de roles condicionales.

La autorización para enumerar y crear clústeres de GKE se comprueba a nivel de proyecto, no a nivel de clúster individual. Si usas enlaces de roles de gestión de identidades y accesos condicionales con etiquetas a nivel de clúster para restringir el acceso a clústeres específicos, es posible que los usuarios tengan problemas al intentar enumerar o crear clústeres en el proyecto. Para evitar estos errores, adjunta una etiqueta al proyecto principal y usa una vinculación de rol condicional para conceder acceso a la lista o crearla. Para obtener información sobre los roles y los permisos, consulta la referencia de roles de gestión de identidades y accesos.

Para obtener más información sobre las concesiones de acceso condicional en IAM, consulta Condiciones y etiquetas de gestión de identidades y accesos.

Siguientes pasos

• Consulta cómo definir una política de organización con etiquetas.
• Consulta más información sobre cómo gestionar etiquetas y adjuntarlas a recursos.
• Consulta los otros servicios que admiten etiquetas.
• Consulta cómo usar etiquetas con la gestión de identidades y accesos.