Anthos UI でクラスタを管理する

Connect の概要

ベアメタル版 Anthos クラスタをインストールすると、Connect は Connect Agent というデプロイメントを使用してクラスタと Google Cloud プロジェクト間の接続を確立し、Kubernetes リクエストを処理します。

Connect を使用すると、任意の Kubernetes クラスタを Google Cloud に接続できます。これにより、クラスタと、統合されたユーザー インターフェースである Google Cloud コンソールなどのワークロード管理機能にアクセスして、クラスタを操作できます。

Connect Agent は、アカウントの認証情報と、接続されたクラスタ インフラストラクチャとワークロード(リソース、アプリケーション、ハードウェアなど)の技術的詳細を管理します。

このクラスタ サービスのデータは、Google Cloud プロジェクトまたはアカウントに関連付けられます。Google では、このデータを使用してクラスタと Google Cloud の間のコントロール プレーンを維持し、利用促進に関するサポート、課金、更新版の提供など、リクエストをいただいた Google Cloud のサービスと機能を提供しているほか、Connect を通じてご利用いただける Connect および Google Cloud サービスの信頼性、品質、容量、機能の測定と改善を行っています。

Connect の詳細については、Connect の概要をご覧ください。

Google Cloud コンソールでクラスタを管理する

Google Cloud コンソールには、実行する場所に関係なく、すべての Kubernetes クラスタとそのリソースを管理するための一元的なユーザー インターフェースが用意されています。すべてのリソースが 1 つのダッシュボードに表示され、複数の Kubernetes クラスタ間でワークロードの可視化が容易になります。

特にクラスタが異なる環境やネットワークに分散している場合、Google Cloud コンソールでデバッグを簡素化できます。Google Cloud コンソールを使用すると、ワークロードの状態をすばやく判断し、すべてが単一のクラウドで実行されているかのようにワークロードに変更を加えることができます。

Kubernetes API サーバーが、Google Cloud コンソールで行われたすべてのリクエストに対して認証、認可、監査ロギングを継続して行うことで、UI を使用してユーザーが表示および操作できるリソースを引き続き管理します。

認証

登録したクラスタには、Google Cloud コンソールからクラスタにログインできるように、次のいずれかの認証方法を設定しなければなりません。

  • Google ID: このオプションを使用すると、ユーザーは Google Cloud identity を使用してログインできます。ユーザーが Google ID で Google Cloud にすでにアクセスできる場合は、このオプションを使用します。Google ID を使用して Google Cloud コンソールへのアクセスを設定するには、Connect ゲートウェイの設定をご覧ください。

  • OpenID Connect(OIDC): クラスタが OIDC ID プロバイダを使用するように構成されている場合は、これを使用して Google Cloud コンソール からクラスタを認証できます。クラスタに対する OIDC の設定方法については、次のガイドをご覧ください。

  • 署名なしトークン: 上記の Google 提供のソリューションが組織に適していない場合は、Kubernetes サービス アカウントとログインする署名なしトークンを使用して認証を設定できます。詳細については、署名なしトークンを使用して設定するをご覧ください。

Google Cloud Console で Anthos クラスタにログインする

クラスタにログインするには、次の手順に沿って操作します。

  1. Google Cloud コンソールで Anthos クラスタ メニューに移動します。

    ベアメタル版 Anthos クラスタのメニューにアクセス

  2. クラスタのリストで、登録済みクラスタの横にある [ログイン] ボタンをクリックします。

  3. ログインの方法を選択します。

    1. Google ID を使用している場合は、[Google ID を使用してログイン] を選択し、[ユーザー名] フィールドと [パスワード] フィールドを入力して、[ログイン] をクリックします。
    2. KSA トークンを使用してログインするには、[トークン] を選択して、[トークン] フィールドに KSA の署名なしトークンを入力し、[ログイン] をクリックします。
    3. OpenID Connect(OIDC)を使用している場合は、[OpenID Connect] を選択して、[ログイン] をクリックします。

認証に成功すると、クラスタを検査して、ノードの詳細を取得できます。

承認

認証チェックは、Google Cloud Platform Console を通した認証時に使用した ID に対して、クラスタの API サーバーによって実行されます。

クラスタにログインするすべてのアカウントは、クラスタ内に少なくとも次の Kubernetes RBAC ロールを保持する必要があります。

これらのロールは、クラスタに対する読み取り専用アクセス権を付与し、ノードの詳細情報を提示します。この役割はすべてのリソースへのアクセス権を提供するわけではないため、Google Cloud Console の一部の機能は利用できない場合があります。たとえば、このような役割では、Kubernetes Secrets や Pod ログへのアクセスは許可されません。

アカウントに editcluster-admin など、他の RBAC 権限を付与して、クラスタ内でより多くの操作を行えるようにできます。詳細については、RBAC のドキュメントをご覧ください。