Anthos UI でクラスタを管理する

Connect の概要

ベアメタル版 Anthos クラスタをインストールすると、Connect は Connect Agent というデプロイメントを使用してクラスタと Google Cloud プロジェクト間の接続を確立し、Kubernetes リクエストを処理します。

Connect を使用すると、任意の Kubernetes クラスタを Google Cloud に接続できます。これにより、クラスタと、統合されたユーザー インターフェースである Google Cloud コンソールなどのワークロード管理機能にアクセスして、クラスタを操作できます。

Connect Agent は、アカウントの認証情報と、接続されたクラスタ インフラストラクチャとワークロード（リソース、アプリケーション、ハードウェアなど）の技術的詳細を管理します。

このクラスタ サービスのデータは、Google Cloud プロジェクトまたはアカウントに関連付けられます。Google では、このデータを使用してクラスタと Google Cloud の間のコントロール プレーンを維持し、利用促進に関するサポート、課金、更新版の提供など、リクエストをいただいた Google Cloud のサービスと機能を提供しているほか、Connect を通じてご利用いただける Connect および Google Cloud サービスの信頼性、品質、容量、機能の測定と改善を行っています。

Connect の詳細については、Connect の概要をご覧ください。

Google Cloud コンソールでクラスタを管理する

Google Cloud コンソールには、実行する場所に関係なく、すべての Kubernetes クラスタとそのリソースを管理するための一元的なユーザー インターフェースが用意されています。すべてのリソースが 1 つのダッシュボードに表示され、複数の Kubernetes クラスタ間でワークロードの可視化が容易になります。

特にクラスタが異なる環境やネットワークに分散している場合、Google Cloud コンソールでデバッグを簡素化できます。Google Cloud コンソールを使用すると、ワークロードの状態をすばやく判断し、すべてが単一のクラウドで実行されているかのようにワークロードに変更を加えることができます。

Kubernetes API サーバーが、Google Cloud コンソールで行われたすべてのリクエストに対して認証、認可、監査ロギングを継続して行うことで、UI を使用してユーザーが表示および操作できるリソースを引き続き管理します。

認証

登録したクラスタには、Google Cloud コンソールからクラスタにログインできるように、次のいずれかの認証方法を設定しなければなりません。

• Google ID: このオプションを使用すると、ユーザーは Google Cloud identity を使用してログインできます。ユーザーが Google ID で Google Cloud にすでにアクセスできる場合は、このオプションを使用します。Google ID を使用して Google Cloud コンソールへのアクセスを設定するには、Connect ゲートウェイの設定をご覧ください。

• OpenID Connect（OIDC）: クラスタが OIDC ID プロバイダを使用するように構成されている場合は、これを使用して Google Cloud コンソール からクラスタを認証できます。クラスタに対する OIDC の設定方法については、次のガイドをご覧ください。

  • OIDC による Anthos Identity Service 用のクラスタを構成する: このガイドでは、クラスタ別にクラスタに OIDC 認証を設定する方法について説明します。
  • フリート用に Anthos Identity Service を設定する: このオプションを選択すると、フリートレベルで OIDC を設定できます。

• 署名なしトークン: 上記の Google 提供のソリューションが組織に適していない場合は、Kubernetes サービス アカウントとログインする署名なしトークンを使用して認証を設定できます。詳細については、署名なしトークンを使用して設定するをご覧ください。

Google Cloud Console で Anthos クラスタにログインする

クラスタにログインするには、次の手順に沿って操作します。

1. Google Cloud コンソールで Anthos クラスタ メニューに移動します。

   ベアメタル版 Anthos クラスタのメニューにアクセス

2. クラスタのリストで、登録済みクラスタの横にある [ログイン] ボタンをクリックします。

3. ログインの方法を選択します。

   1. Google ID を使用している場合は、[Google ID を使用してログイン] を選択し、[ユーザー名] フィールドと [パスワード] フィールドを入力して、[ログイン] をクリックします。
   2. KSA トークンを使用してログインするには、[トークン] を選択して、[トークン] フィールドに KSA の署名なしトークンを入力し、[ログイン] をクリックします。
   3. OpenID Connect（OIDC）を使用している場合は、[OpenID Connect] を選択して、[ログイン] をクリックします。

認証に成功すると、クラスタを検査して、ノードの詳細を取得できます。

承認

認証チェックは、Google Cloud Platform Console を通した認証時に使用した ID に対して、クラスタの API サーバーによって実行されます。

クラスタにログインするすべてのアカウントは、クラスタ内に少なくとも次の Kubernetes RBAC ロールを保持する必要があります。

• view
• node-reader

これらのロールは、クラスタに対する読み取り専用アクセス権を付与し、ノードの詳細情報を提示します。この役割はすべてのリソースへのアクセス権を提供するわけではないため、Google Cloud Console の一部の機能は利用できない場合があります。たとえば、このような役割では、Kubernetes Secrets や Pod ログへのアクセスは許可されません。

アカウントに edit や cluster-admin など、他の RBAC 権限を付与して、クラスタ内でより多くの操作を行えるようにできます。詳細については、RBAC のドキュメントをご覧ください。