Anthos-Cluster auf Azure sind für Kunden mit einer vorhandenen Supportlösung für Google Cloud verfügbar. Wenden Sie sich an Ihren Kundenbetreuer, um Zugriff zu erhalten.

Zugriffsanforderungen

Auf dieser Seite werden die Anforderungen von Azure und Google Cloud für die Verwendung von Anthos-Cluster on Azure beschrieben.

Azure

In diesem Abschnitt werden die Azure-Berechtigungen und der Netzwerkzugriff beschrieben, die zum Installieren und Verwenden von Anthos-Cluster on Azure erforderlich sind.

Installationsrollen und -berechtigungen

Zum Einrichten Ihres Azure-Kontos für Anthos-Cluster in Azure benötigen Sie die folgenden integrierten Azure-Rollen:

Anwendungsrollen und -berechtigungen

Damit Anthos-Cluster on Azure Ressourcen in Ihrem Azure-Konto verwalten kann, müssen Sie die Berechtigungen für die Anwendungsregistrierung erteilen. Im folgenden Abschnitt werden diese Berechtigungen beschrieben.

Beispiele für das Erteilen dieser Berechtigungen finden Sie unter Voraussetzungen.

Benutzerdefinierte Rollen erstellen

Anthos-Cluster on Azure benötigt die folgenden Berechtigungen, um benutzerdefinierte Rollen zu erstellen, die Cluster-Steuerungsebenen Zugriff auf Ressourcen im selben VNet gewähren.

Bereich: Ihre VNet-Ressourcengruppe

Berechtigungen:

"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",

VNet-Verbindungen

Anthos-Cluster on Azure benötigt die folgenden Berechtigungen, um Ressourcen mit dem virtuellen Netzwerk (VNet) zu verbinden. Außerdem werden Rollenzuweisungen eingerichtet, damit VM-Instanzen der Steuerungsebene das virtuelle Netzwerk verwenden können.

Bereich: VNet-Ressource

Berechtigungen:

"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",

VM-Identitätsrollen

Anthos-Cluster on Azure benötigt die folgenden in Azure integrierten Rollen, um Ressourcen zu erstellen und VM-Identitätsrollenzuweisungen in Ressourcengruppen zu verwalten. Anthos-Cluster on Azure verwendet auch Azure Key Vault zum Verteilen von Secrets.

Bereich: Ihre Clusterressourcengruppe

Rollen:

Ausgehender Netzwerkzugriff

Standardmäßig sind Anthos-Cluster on Azure-Cluster für Ihre Virtual Private Cloud (VPC) privat. Das bedeutet, dass eingehender Traffic aus dem Internet nicht zulässig ist und VMs keine öffentlichen IP-Adressen haben.

Zum Erstellen und Verwalten von Clustern ist ein eingeschränkter ausgehender Internetzugriff erforderlich. Ausgehende Internetverbindungen sollten von einem NAT-Gateway bereitgestellt werden.

Ausgehende Verbindungen

In diesem Abschnitt werden die Adressen definiert, unter denen Anthos-Cluster on Azure eine Verbindung herstellen muss, um Cluster zu erstellen und zu verwalten.

Allgemeine Verbindungen

Steuerungsebenen- und Knotenpool-VMs müssen DNS auflösen und ausgehende TCP-Verbindungen an Port 443 einrichten können.

Hostnamen für ausgehenden Traffic

Anthos-Cluster on Azure kann eine Verbindung zu den folgenden Endpunkten herstellen:

Endpunkt Grund
storage.googleapis.com Zum Abrufen binärer Abhängigkeiten aus Cloud Storage während der Installation.
*.gcr.io Zum Abrufen binärer Abhängigkeiten während der Installation aus Container Registry.
gkeconnect.googleapis.com Für die Multi-Cluster-Verwaltung mit Anthos
oauth2.googleapis.com

sts.googleapis.com
Für die Clusterauthentifizierung.

Google Cloud

In diesem Abschnitt werden die IAM-Rollen und -Berechtigungen (Google Cloud Identity and Access Management) beschrieben, die Sie zum Installieren von Anthos-Cluster on Azure benötigen.

Identitäts- und Zugriffsverwaltungsrollen

Anthos-Cluster on Azure installieren

Um die Vorschau von Anthos-Cluster on Azure zu installieren, muss der Nutzer, der die Anthos-Cluster on Azure API aktiviert, Teil einer Zulassungsliste sein.

Nutzercluster verwalten

Sie können vordefinierte IAM-Rollen verwenden, um Anthos-Cluster on Azure-Nutzercluster zu verwalten. Weitere Informationen finden Sie unter API-Berechtigungen.

Google Cloud APIs

Anthos-Cluster on Azure verwendet die folgenden APIs in Ihrem Google Cloud-Projekt:

gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com

Workstation einrichten

Zum Installieren und Aktualisieren von Anthos-Cluster on Azure müssen Sie Zugriff auf eine Workstation haben, auf der Linux oder macOS ausgeführt wird. In dieser Dokumentation wird davon ausgegangen, dass Sie eine Bash-Shell unter Linux oder macOS verwenden. Wenn Sie nicht auf eine Bash-Shell-Umgebung zugreifen können, verwenden Sie Cloud Shell.

Azure

Um Anthos-Cluster on Azure installieren zu können, muss die Azure-Befehlszeile installiert sein. Weitere Informationen finden Sie unter Azure-Befehlszeile installieren.

gcloud-Befehlszeilentool

Sie installieren und verwalten Anthos-Cluster on Azure mit dem gcloud-Befehlszeilentool ab Cloud SDK-Version 347.0.0. Führen Sie den folgenden Befehl aus, um zu bestätigen, dass das gcloud-Tool installiert ist:

gcloud version

Wenn das gcloud-Tool nicht installiert ist, lesen Sie die Informationen unter Cloud SDK installieren.

Zur Verwendung von Anthos-Cluster on Azure mit dem gcloud-Tool müssen Sie auch die Komponente gcloud alpha installieren. Führen Sie den folgenden Befehl aus, um die Komponente gcloud alpha zu installieren:

gcloud components install alpha && gcloud components update

Nächste Schritte