Diese Dokumentation bezieht sich auf die neueste Version von Anthos-Clustern in Azure, die am 3. November veröffentlicht wurde. Weitere Informationen finden Sie in den Versionshinweisen.

Authentifizierung

Auf dieser Seite wird beschrieben, wie GKE on Azure die Authentifizierung bei Google Cloud und die Nutzerauthentifizierung bei Ihren Clustern handhabt.

Verbindung von GKE on Azure mit Azure herstellen

Die GKE Multi-Cloud API authentifiziert sich mit einem AzureClient-Objekt bei Azure. Wenn Sie einen Client erstellen, generiert Google ein X.509-Schlüsselpaar. Der öffentliche Schlüssel wird in Azure Active Directory (Azure AD) hochgeladen.

Weitere Informationen finden Sie unter AzureClient erstellen.

Authentifizierung

Authentifizierung der GKE Multi-Cloud API

Mit der GKE Multi-Cloud API können Sie Cluster und Knotenpools erstellen, aktualisieren und löschen. Wie andere Google Cloud APIs können Sie diese API mit REST, der Google Cloud CLI oder der Google Cloud Console verwenden.

Weitere Informationen finden Sie in der Übersicht über die Google Cloud-Authentifizierung und in der Referenzdokumentation zur GKE Multi-Cloud API.

Kubernetes API-Authentifizierung

Mit dem kubectl-Befehlszeilentool können Sie Clustervorgänge wie das Bereitstellen einer Arbeitslast und das Konfigurieren eines Load-Balancers ausführen. Das kubectl-Tool stellt eine Verbindung zur Kubernetes API auf der Steuerungsebene Ihres Clusters her. Sie müssen sich mit autorisierten Anmeldedaten authentifizieren, um diese API aufzurufen.

Zum Abrufen von Anmeldedaten können Sie eine der folgenden Methoden verwenden:

Google Identity: Nutzer können sich mit ihrer Google Cloud Identity anmelden. Verwenden Sie diese Option, wenn Ihre Nutzer bereits Zugriff auf Google Cloud mit einer Google-Identität haben.
GKE Identity Service, mit dem sich Nutzer über OpenID Connect (OIDC) anmelden können.

Mit dem GKE Identity Service können Sie Identitätsanbieter wie Okta, Active Directory Federation Services (ADFS) oder einen beliebigen OIDC-konformen Identitätsanbieter verwenden.

Autorisierung

GKE on Azure bietet zwei Methoden für die Zugriffssteuerung: die GKE Multi-Cloud API und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). In diesem Abschnitt werden die Unterschiede zwischen diesen Methoden beschrieben.

Schützen Sie Ihre Cluster und Arbeitslasten nach Möglichkeit mit einem mehrschichtigen Ansatz. Sie können den Grundsatz der geringsten Berechtigung auf die Zugriffsebene anwenden, die Sie für Ihre Nutzer und Arbeitslasten bereitstellen. Möglicherweise müssen Sie Kompromisse eingehen, um das richtige Maß an Flexibilität und Sicherheit zu erreichen.

Zugriffssteuerung für GKE Multi-Cloud API

Mit der GKE Multi-Cloud API können Clusteradministratoren Cluster und Knotenpools erstellen, aktualisieren und löschen. Berechtigungen für die API verwalten Sie mit Identity and Access Management (IAM). Um die API verwenden zu können, müssen Nutzer die entsprechenden Berechtigungen haben. Informationen zu den für den jeweiligen Vorgang erforderlichen Berechtigungen finden Sie unter API-Rollen und -Berechtigungen. Mit IAM können Sie Rollen definieren und diese Hauptkonten zuweisen. Eine Rolle ist eine Sammlung von Berechtigungen. Sie steuert den Zugriff des jeweiligen Hauptkontos auf eine oder mehrere Google Cloud-Ressourcen.

Wenn Sie einen Cluster oder Knotenpool in einer Organisation, einem Ordner oder einem Projekt erstellen, kann dieser von Nutzern mit den entsprechenden Berechtigungen in dieser Organisation, in diesem Ordner oder in diesem Projekt geändert werden. Wenn Sie einem Nutzer beispielsweise eine Berechtigung zum Löschen von Clustern auf Google Cloud-Projektebene erteilen, kann er alle Cluster in diesem Projekt löschen. Weitere Informationen finden Sie unter Google Cloud-Ressourcenhierarchie und IAM-Richtlinien erstellen.

Kubernetes API-Zugriffssteuerung

Mit der Kubernetes API können Sie Kubernetes-Objekte verwalten. Zur Verwaltung der Zugriffssteuerung in der Kubernetes API verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Weitere Informationen finden Sie in der GKE-Dokumentation unter Rollenbasierte Zugriffssteuerung konfigurieren.

Administratorzugriff

Wenn Sie einen Cluster über die gcloud CLI erstellen, fügt die GKE Multi-Cloud API standardmäßig Ihr Nutzerkonto als Administrator hinzu und erstellt entsprechende RBAC-Richtlinien, die Ihnen vollständigen Administratorzugriff auf den Cluster gewähren. Wenn Sie verschiedene Nutzer konfigurieren möchten, geben Sie beim Erstellen oder Aktualisieren eines Clusters das Flag --admin-users an. Wenn Sie das Flag --admin-users verwenden, müssen Sie alle Nutzer einschließen, die den Cluster verwalten können. Die gcloud CLI enthält nicht den Nutzer, der den Cluster erstellt.

Administratoren können auch über die Google Cloud Console hinzugefügt werden. Weitere Informationen finden Sie unter Cluster aktualisieren.

Führen Sie den folgenden Befehl aus, um die Konfiguration für den Zugriff auf Ihren Cluster anzeigen zu lassen:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Zusätzlich zu den RBAC-Richtlinien für den Zugriff auf den Kubernetes API-Server müssen Sie, wenn ein Administrator kein Projektinhaber ist, bestimmte IAM-Rollen gewähren, damit sich die Administratoren mit ihrer Google-Identität authentifizieren können. Weitere Informationen zum Herstellen einer Verbindung zum Cluster finden Sie unter Verbindung zum Cluster herstellen und authentifizieren.

Nächste Schritte

Informationen zum Einrichten von OIDC finden Sie unter Identität mit dem GKE Identity Service verwalten.
Verbindung zum Cluster herstellen und authentifizieren