Esta documentación es para la versión más reciente de GKE en Azure, lanzada en noviembre de 2021. Consulta las notas de la versión para obtener más información.

Descripción general de la autenticación

En esta página, se describe cómo GKE en Azure controla la autenticación en Google Cloud y la autenticación de usuarios en los clústeres.

Cómo se conecta GKE en Azure con Azure

La API de múltiples nubes de GKE se autentica en Azure con un objeto AzureClient. Cuando creas un cliente, Google genera un par de claves X.509. Sube la clave pública a Azure Active Directory (Azure AD).

Para obtener más información, consulta Crea un cliente de Azure.

Autenticación

Autenticación de la API de múltiples nubes de GKE

Usa la API de múltiples nubes de GKE para crear, actualizar y borrar clústeres y grupos de nodos. Al igual que con otras API de Google Cloud, puedes usar esta API con REST, Google Cloud CLI o la consola de Google Cloud.

Para obtener más información, consulta la documentación de referencia Descripción general de la autenticación de Google Cloud y API de GKE Multi-Cloud.

Autenticación de la API de Kubernetes

Puedes usar la herramienta de línea de comandos de kubectl para realizar operaciones de clúster, como implementar una carga de trabajo y configurar un balanceador de cargas. La herramienta de kubectl se conecta a la API de Kubernetes en el plano de control del clúster. Para llamar a esta API, debes autenticarte con las credenciales permitidas.

Para obtener credenciales, puedes usar uno de los siguientes métodos:

Google Identity, que permite a los usuarios acceder con su identidad de Google Cloud. Usa esta opción si tus usuarios ya tienen acceso a Google Cloud con Google Identity.
GKE Identity Service, que permite a los usuarios acceder con OpenID Connect (OIDC)

El servicio de identidad de GKE te permite usar proveedores de identidad como Okta, los Servicios de federación de Active Directory (ADFS) o cualquier proveedor de identidad que cumpla con OIDC.

Autorización

GKE on Azure tiene dos métodos de control de acceso: la API de GKE Multi-Cloud y el control de acceso basado en funciones (RBAC). En esta sección, se describen las diferencias entre estos métodos.

Es mejor adoptar un enfoque por capas para proteger los clústeres y las cargas de trabajo. Puedes aplicar el principio de privilegio mínimo al nivel de acceso que proporcionas a los usuarios y las cargas de trabajo. Es posible que debas realizar compensaciones para permitir el nivel adecuado de flexibilidad y seguridad.

Control de acceso a la API de múltiples nubes de GKE

La API de múltiples nubes de GKE permite que los administradores de clústeres creen, actualicen y borren clústeres y grupos de nodos. Puedes administrar los permisos para la API con Identity and Access Management (IAM). Para usar la API, los usuarios deben tener los permisos correspondientes. Si deseas conocer los permisos necesarios para cada operación, consulta Funciones y permisos de la API. IAM te permite definir funciones y asignarlas a las principales. Una función es una colección de permisos, y cuando se le asigna a una principal, controla el acceso a uno o más recursos de Google Cloud.

Cuando creas un clúster o grupo de nodos en una organización, una carpeta o un proyecto, los usuarios con los permisos adecuados en tal organización, carpeta o proyecto pueden modificarlo. Por ejemplo, si otorgas a un usuario un permiso de eliminación de clústeres a nivel de proyecto de Google Cloud, ese usuario puede borrar cualquier clúster de ese proyecto. Para obtener más información, consulta Jerarquía de recursos de Google Cloud y Crea políticas de IAM.

Control de acceso en la API de Kubernetes

La API de Kubernetes te permite administrar objetos de Kubernetes. Para administrar el control de acceso en la API de Kubernetes, usa el control de acceso basado en funciones (RBAC). Para obtener más información, consulta Configura el control de acceso basado en funciones en la documentación de GKE.

Acceso de administrador

Cuando usas gcloud CLI para crear un clúster, la API de múltiples nubes de GKE agrega tu cuenta de usuario como administrador y crea políticas de RBAC adecuadas que te otorgan acceso de administrador completo al clúster de forma predeterminada. Para configurar diferentes usuarios, pasa la marca --admin-users cuando crees o actualices un clúster. Cuando usas la marca --admin-users, debes incluir todos los usuarios que pueden administrar el clúster. La CLI de gcloud no incluye el usuario que crea el clúster.

También puedes agregar usuarios administradores con la consola de Google Cloud. Para obtener más información, consulta Actualiza tu clúster.

Para ver la configuración del acceso de tu clúster, ejecuta el siguiente comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Además de las políticas de RBAC para acceder al servidor de la API de Kubernetes, si un usuario administrador no es propietario del proyecto, debes otorgar funciones de IAM específicas que les permitan a los usuarios administradores autenticarse con su identidad de Google. Si deseas obtener más información para conectarte al clúster, consulta Conéctate y autentica en tu clúster.

¿Qué sigue?

Para configurar OIDC, consulta Administra la identidad con GKE Identity Service.
Conéctate a tu clúster y autentícate en él.