Connect の概要
ベアメタル版 Anthos クラスタをインストールすると、Connect は Connect Agent というデプロイメントを使用してクラスタと Google Cloud プロジェクト間の接続を確立し、Kubernetes リクエストを処理します。
Connect を使用すると、任意の Kubernetes クラスタを Google Cloud に接続できます。これにより、クラスタと、統合されたユーザー インターフェースである Google Cloud コンソールなどのワークロード管理機能にアクセスして、クラスタを操作できます。
Connect Agent は、アカウントの認証情報と、接続されたクラスタ インフラストラクチャとワークロード(リソース、アプリケーション、ハードウェアなど)の技術的詳細を管理します。
このクラスタ サービスのデータは、Google Cloud プロジェクトまたはアカウントに関連付けられます。Google では、このデータを使用してクラスタと Google Cloud の間のコントロール プレーンを維持し、利用促進に関するサポート、課金、更新版の提供など、リクエストをいただいた Google Cloud のサービスと機能を提供しているほか、Connect を通じてご利用いただける Connect および Google Cloud サービスの信頼性、品質、容量、機能の測定と改善を行っています。
Connect の詳細については、Connect の概要をご覧ください。
Google Cloud コンソールでクラスタを管理する
Google Cloud コンソールには、実行する場所に関係なく、すべての Kubernetes クラスタとそのリソースを管理するための一元的なユーザー インターフェースが用意されています。すべてのリソースが 1 つのダッシュボードに表示され、複数の Kubernetes クラスタ間でワークロードの可視化が容易になります。
特にクラスタが異なる環境やネットワークに分散している場合、Google Cloud コンソールでデバッグを簡素化できます。Google Cloud コンソールを使用すると、ワークロードの状態をすばやく判断し、すべてが単一のクラウドで実行されているかのようにワークロードに変更を加えることができます。
Kubernetes API サーバーが、Google Cloud コンソールで行われたすべてのリクエストに対して認証、認可、監査ロギングを継続して行うことで、UI を使用してユーザーが表示および操作できるリソースを引き続き管理します。
詳細については、Google Cloud コンソールをご覧ください。
Google Cloud Console で Anthos クラスタにログインする
クラスタにログインするには、次の手順に沿って操作します。
Google Cloud コンソールで Anthos クラスタ メニューに移動します。
クラスタのリストで、登録済みクラスタの横にある [ログイン] ボタンをクリックします。
ログインの方法を選択します。
- 基本認証を使用している場合は、[基本認証]を選択して、[ユーザー名] フィールドと [パスワード] フィールドを入力し、[ログイン] をクリックします。
- KSA トークンを使用してログインするには、[トークン] を選択して、[トークン] フィールドに KSA の署名なしトークンを入力し、[ログイン] をクリックします。
- OpenID Connect(OIDC)を使用している場合は、[OpenID Connect] を選択して、[ログイン] をクリックします。
認証に成功すると、クラスタを検査して、ノードの詳細を取得できます。
認証
Google Cloud Console を使用して登録済みクラスタにログインする方法は以下の 3 つです。
- ユーザー名と静的パスワード ファイルを使用する基本認証を使用する。 詳細については、静的パスワード ファイルをご覧ください。
- 署名なしトークンを使用する。Kubernetes 認証で指定された、さまざまな種類の署名なしトークンがサポートされています。最も簡単な方法は、クラスタ内に Kubernetes サービス アカウント(KSA)を作成し、その署名なしトークンを使用してログインすることです。
- OpenID Connect(OIDC)プロバイダを使用する。
承認
認証チェックは、Google Cloud Platform Console を通した認証時に使用した ID に対して、クラスタの API サーバーによって実行されます。
クラスタにログインするすべてのアカウントは、クラスタ内に少なくとも次の Kubernetes RBAC ロールを保持する必要があります。
これらのロールは、クラスタに対する読み取り専用アクセス権を付与し、ノードの詳細情報を提示します。この役割はすべてのリソースへのアクセス権を提供するわけではないため、Google Cloud Console の一部の機能は利用できない場合があります。たとえば、このような役割では、Kubernetes Secrets や Pod ログへのアクセスは許可されません。
アカウントに edit
や cluster-admin
など、他の RBAC 権限を付与して、クラスタ内でより多くの操作を行えるようにできます。詳細については、RBAC のドキュメントをご覧ください。