En este documento, se describe cómo puedes conectarte a GKE on AWS como miembro de un Grupo de Google.
El uso de Grupos de Google a fin de otorgar acceso a los clústeres es más eficiente que crear autorizaciones por separado para usuarios individuales. Por ejemplo, supongamos que deseas agregar 50 usuarios al grupo de administradores del clúster, 75 usuarios a un grupo de editor y 100 usuarios a un grupo de lectores. Permitir que todos estos usuarios se conecten a tu clúster requeriría que crees reglas de RBAC en el archivo de manifiesto de Kubernetes para 225 usuarios. Sin embargo, habilitar el acceso a tu clúster con Grupos de Google te ahorra tiempo porque solo necesitas crear reglas de RBAC para tres Grupos de Google.
Antes de comenzar
Para conectarte a tu clúster como miembro de un Grupo de Google, debes cumplir con los siguientes requisitos previos:
Asegúrate de tener la versión más reciente de Google Cloud CLI. Si quieres obtener información para actualizar gcloud CLI, consulta
gcloud components update.Usa la versión 1.25 o posterior de GKE on AWS, que se requiere para el acceso a
kubectlmediante la puerta de enlace de conexión.
Conéctate a tu clúster con Grupos de Google
Para autorizar a los Grupos de Google a conectarse a GKE on AWS, sigue estos pasos:
Habilita las APIs de
connectgatewayycloudresourcemanagercon el siguiente comando:gcloud services enable --project=PROJECT_ID \ connectgateway.googleapis.com \ cloudresourcemanager.googleapis.comReemplaza
PROJECT_IDpor el ID de tu proyecto de AWS.Crea un grupo llamado
gke-security-groupscomo grupo en el dominio de tu proyecto si no existe.Crea uno o más subgrupos dentro del grupo
gke-security-groupspara la autenticación del clúster.Agregar usuarios a los subgrupos recientemente creados
Para el acceso
kubectlcon la puerta de enlace de conexión, debes otorgar funciones de IAM a Grupos de Google:Selecciona un rol adecuado para un grupo. Esta función determina cómo interactúa el grupo con la puerta de enlace de conexión. La función puede ser una de las siguientes:
roles/gkehub.gatewayAdmin,roles/gkehub.gatewayEditororoles/gkehub.gatewayReader. Ten en cuenta que no estás otorgando permisos sobre el clúster aquí; ese paso se detalla más adelante. Aquí solo determinas cómo los usuarios del grupo pueden manipular la puerta de enlace de conexión).Ejecuta el siguiente comando para otorgar el rol al grupo:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=group:GROUP_NAME@DOMAIN \ --role=GATEWAY_ROLEReemplaza lo siguiente:
PROJECT_ID: El ID del proyecto de GoogleGROUP_NAME: Es el nombre del grupo al que se otorgará acceso.DOMAIN: Tu dominio de Google WorkspaceGATEWAY_ROLE: Es el rol seleccionado. Por ejemplo,roles/gkehub.gatewayAdmin,roles/gkehub.gatewayEditororoles/gkehub.gatewayReader.
En un manifiesto de Kubernetes, define los permisos que cada Grupo de Google tiene sobre el clúster. Por ejemplo, el siguiente manifiesto otorga al Grupo de Google
cluster-admin-teamla función de administrador de clústeres:apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-group subjects: - kind: Group name: cluster-admin-team@example.com roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.ioGuarda el manifiesto en un archivo y aplícalo al clúster mediante la ejecución del siguiente comando:
kubectl apply -kubeconfig=KUBECONFIG_PATH -f FILENAMEReemplaza lo siguiente:
KUBECONFIG_PATH: Es la ruta de acceso al archivokubeconfig.FILENAME: Es el nombre del archivo de manifiesto que creaste.
Una vez que hayas realizado estos pasos, los usuarios que pertenecen a ciertos Grupos de Google podrán conectarse al clúster. En el ejemplo proporcionado, los usuarios que pertenecen al grupo de Google cluster-admin-team pueden conectarse al clúster como administradores.