Anthos UI でクラスタを管理する

Connect の概要

ベアメタル版 Anthos クラスタをインストールすると、Connect は Connect Agent というデプロイメントを使用してクラスタと Google Cloud プロジェクト間の接続を確立し、Kubernetes リクエストを処理します。

Connect を使用すると、任意の Kubernetes クラスタを Google Cloud に接続できます。これにより、クラスタと、統合されたユーザー インターフェースである Google Cloud コンソールなどのワークロード管理機能にアクセスして、クラスタを操作できます。

Connect Agent は、アカウントの認証情報と、接続されたクラスタ インフラストラクチャとワークロード(リソース、アプリケーション、ハードウェアなど)の技術的詳細を管理します。

このクラスタ サービスのデータは、Google Cloud プロジェクトまたはアカウントに関連付けられます。Google では、このデータを使用してクラスタと Google Cloud の間のコントロール プレーンを維持し、利用促進に関するサポート、課金、更新版の提供など、リクエストをいただいた Google Cloud のサービスと機能を提供しているほか、Connect を通じてご利用いただける Connect および Google Cloud サービスの信頼性、品質、容量、機能の測定と改善を行っています。

Connect の詳細については、Connect の概要をご覧ください。

Google Cloud コンソールでのクラスタの管理

Google Cloud コンソールには、実行する場所に関係なく、すべての Kubernetes クラスタとそのリソースを管理するための一元的なユーザー インターフェースが用意されています。すべてのリソースが 1 つのダッシュボードに表示され、複数の Kubernetes クラスタ間でワークロードの可視化が容易になります。

特にクラスタが異なる環境やネットワークに分散している場合、Google Cloud コンソールでデバッグを簡素化できます。Google Cloud コンソールを使用すると、ワークロードの状態をすばやく判断し、すべてが単一のクラウドで実行されているかのようにワークロードに変更を加えることができます。

Kubernetes API サーバーが、Google Cloud コンソールで行われたすべてのリクエストに対して認証、認可、監査ロギングを継続して行うことで、UI を使用してユーザーが表示および操作できるリソースを引き続き管理します。

詳細については、Google Cloud コンソールをご覧ください。

Google Cloud コンソールで Anthos クラスタにログインする

クラスタにログインするには、次の手順に沿って操作します。

  1. Google Cloud コンソールで Anthos クラスタ メニューに移動します。

    ベアメタル版 Anthos クラスタのメニューにアクセス

  2. クラスタのリストで、登録済みクラスタの横にある [ログイン] ボタンをクリックします。

  3. ログインの方法を選択します。

    1. 基本認証を使用している場合は、[基本認証]を選択して、[ユーザー名] フィールドと [パスワード] フィールドを入力し、[ログイン] をクリックします。
    2. KSA トークンを使用してログインするには、[トークン] を選択して、[トークン] フィールドに KSA の署名なしトークンを入力し、[ログイン] をクリックします。
    3. OpenID Connect(OIDC)を使用している場合は、[OpenID Connect] を選択して、[ログイン] をクリックします。

認証に成功すると、クラスタを検査して、ノードの詳細を取得できます。

認証

Google Cloud Console を使用して登録済みクラスタにログインする方法は以下の 3 つです。

  1. ユーザー名と静的パスワード ファイルを使用する基本認証を使用する。 詳細については、静的パスワード ファイルをご覧ください。
  2. 署名なしトークンを使用する。Kubernetes 認証で指定された、さまざまな種類の署名なしトークンがサポートされています。最も簡単な方法は、クラスタ内に Kubernetes サービス アカウント(KSA)を作成し、その署名なしトークンを使用してログインすることです。
  3. OpenID Connect(OIDC)プロバイダを使用する。

承認

認証チェックは、Google Cloud Platform Console を通した認証時に使用した ID に対して、クラスタの API サーバーによって実行されます。

クラスタにログインするすべてのアカウントは、クラスタ内に少なくとも次の Kubernetes RBAC ロールを保持する必要があります。

これらのロールは、クラスタに対する読み取り専用アクセス権を付与し、ノードの詳細情報を提示します。この役割はすべてのリソースへのアクセス権を提供するわけではないため、Google Cloud Console の一部の機能は利用できない場合があります。たとえば、このような役割では、Kubernetes Secrets や Pod ログへのアクセスは許可されません。

アカウントに editcluster-admin など、他の RBAC 権限を付与して、クラスタ内でより多くの操作を行えるようにできます。詳細については、RBAC のドキュメントをご覧ください。