액세스 요구사항
이 페이지에서는 Azure용 GKE를 사용하기 위한 Azure 및 Google Cloud 요구사항을 설명합니다.
Azure
이 섹션에서는 Azure용 GKE를 설치하고 사용하는 데 필요한 Azure 권한과 네트워크 액세스를 설명합니다.
설치 역할 및 권한
Azure용 GKE의 Azure 계정을 설정하려면 사용자에게 다음 역할을 수행할 수 있는 Azure 기본 제공 역할이 있어야 합니다.
Azure Active Directory 애플리케이션을 만들고 인증서를 업로드하는 애플리케이션 관리자
리소스 그룹 및 리소스에 대한 액세스 권한을 부여하는 사용자 액세스 관리자
리소스를 만드는 참여자
애플리케이션 역할 및 권한
Azure용 GKE가 Azure 계정의 리소스를 관리하도록 허용하려면 앱 등록 권한을 부여해야 합니다. 다음 섹션에서는 이러한 권한에 대해 설명합니다.
이러한 권한을 부여하는 방법에 대한 예시는 기본 요건을 참조하세요.
커스텀 역할 만들기
Azure용 GKE는 클러스터 제어 영역에 동일한 VNet의 리소스에 대한 액세스 권한을 부여하는 커스텀 역할을 만들기 위해 다음 권한이 필요합니다.
범위: VNet 리소스 그룹
권한:
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
VNet 조인
리소스를 가상 네트워크(VNet)에 조인하려면 Azure용 GKE에 다음 권한이 필요합니다. 또한 제어 영역 가상 머신(VM) 인스턴스가 가상 네트워크를 사용할 수 있도록 역할 할당을 설정합니다.
범위: VNet 리소스
권한:
"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
VM ID 역할
리소스를 만들고 리소스 그룹 내에서 VM ID 역할 할당을 관리하려면 Azure용 GKE에 다음 Azure 기본 제공 역할이 필요합니다. Azure용 GKE는 Azure Key Vault를 사용하여 보안 비밀을 배포합니다.
범위: 클러스터 리소스 그룹
역할:
아웃바운드 네트워크 액세스
기본적으로 Azure용 GKE 클러스터는 Azure Virtual Network(VNet)에만 해당됩니다. 즉, 인터넷에서 인바운드 트래픽이 허용되지 않으며 VM에는 공개 IP 주소가 없습니다.
클러스터 만들기 및 관리를 위해 제한된 아웃바운드 인터넷 액세스가 필요합니다. NAT 게이트웨이에서 아웃바운드 인터넷 연결이 제공되어야 합니다.
아웃바운드 연결
이 섹션에서는 Azure용 GKE가 클러스터를 만들고 관리하기 위해 연결해야 하는 주소를 정의합니다.
일반 연결
제어 영역 및 노드 풀 VM은 DNS를 확인할 수 있어야 하며 포트 443에서 아웃바운드 TCP 연결을 설정할 수 있어야 합니다.
아웃바운드 호스트 이름
Azure용 GKE는 다음 엔드포인트에 연결할 수 있습니다.
| 엔드포인트 | 이유 |
|---|---|
storage.googleapis.com |
설치 중에 Cloud Storage에서 바이너리 종속 항목을 가져오는 데 사용됩니다. |
*.gcr.io |
설치 중에 Container Registry에서 바이너리 종속 항목을 가져오는 데 사용됩니다. |
gkeconnect.googleapis.com |
Google Kubernetes Engine(GKE) Enterprise 버전 멀티 클러스터 관리에 사용됩니다. |
oauth2.googleapis.com sts.googleapis.com |
클러스터 인증용입니다. |
logging.googleapis.com |
Cloud Logging으로 로그를 전송하는 데 사용됩니다. |
monitoring.googleapis.com |
Cloud Monitoring으로 측정항목을 전송하는 데 사용됩니다. |
opsconfigmonitoring.googleapis.com |
Cloud Monitoring으로 리소스 메타데이터를 전송하는 데 사용됩니다. |
servicecontrol.googleapis.com |
Cloud Audit Logging으로 측정항목을 전송하는 데 사용됩니다. |
Google Cloud
이 섹션에서는 Azure용 GKE를 설치하는 데 필요한 Google Cloud Identity and Access Management(IAM) 역할 및 권한을 설명합니다.
Identity and Access Management 역할
Azure용 GKE 설치
Azure용 GKE 미리보기를 설치하려면 Azure용 GKE API를 활성화하는 사용자가 허용 목록에 포함되어야 합니다.
클러스터 관리
GKE 클러스터를 관리하기 위해 사전 정의된 IAM 역할을 사용할 수 있습니다. 자세한 내용은 API 권한을 참조하세요.
Google Cloud API
Azure용 GKE는 Google Cloud 프로젝트에 다음 API를 사용합니다.
gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com
워크스테이션 설정
Azure용 GKE를 설치 및 업그레이드하려면 Linux 또는 macOS를 실행하는 워크스테이션에 대한 액세스 권한이 있어야 합니다. 이 문서에서는 Linux 또는 macOS에서 bash 셸을 사용한다고 가정합니다. bash 셸 환경에 액세스할 수 없는 경우 Cloud Shell을 사용할 수 있습니다.
Azure
Azure용 GKE를 설치하려면 Azure CLI가 설치되어 있어야 합니다. 자세한 내용은 Azure CLI 설치를 참조하세요.
Google Cloud CLI
Google Cloud CLI 버전 347.0.0 이상에서 Google Cloud CLI를 사용하여 Azure용 GKE를 설치하고 관리합니다. gcloud CLI가 설치되어 있는지 확인하려면 다음 명령어를 실행합니다.
gcloud version
gcloud CLI가 설치되어 있지 않으면 Google Cloud CLI 설치를 참조하세요.
다음 단계
- 설치를 위한 기본 요건을 완료하기