Requisitos de acesso
Nesta página, descrevemos os requisitos do Azure e do Google Cloud para usar o GKE no Azure .
Azure
Nesta seção, descrevemos as permissões do Azure e o acesso à rede necessários para instalar e usar o GKE no Azure.
Permissões e papéis de instalação
Para configurar sua conta do Azure para o GKE no Azure, você precisa dos seguintes papéis integrados do Azure:
Administrador de aplicativos para criar um aplicativo do Azure Active Directory e fazer o upload de certificados.
Administrador de acesso do usuário para conceder acesso a um grupo de recursos e recursos.
Colaborador para criar recursos.
Permissões e papéis do aplicativo
Para permitir que o GKE no Azure gerencie recursos na sua conta do Azure, conceda as permissões de registro do aplicativo. A seção a seguir descreve essas permissões.
Para exemplos de como conceder essas permissões, consulte os Pré-requisitos.
criar papéis personalizados
O GKE no Azure precisa das permissões a seguir para criar papéis personalizados que concedam aos planos de controle do cluster acesso a recursos na mesma VNet.
Escopo: grupo de recursos da VNet
Permissões:
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
Participar da VNet
O GKE no Azure precisa das permissões a seguir para mesclar recursos à rede virtual (VNet). Também são configuradas as atribuições de papel para permitir que as instâncias de máquina virtual (VM) do plano de controle usem a rede virtual.
Escopo: recurso VNet
Permissões:
"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
Papéis de identidade de VM
O GKE no Azure precisa dos seguintes papéis integrados do Azure para criar recursos e gerenciar atribuições de função de identidade da VM em grupos de recursos. O GKE no Azure também usa o Azure Key Vault para distribuir secrets.
Escopo: grupo de recursos do cluster
Papéis:
Acesso à rede de saída
Por padrão, os clusters do GKE no Azure são particulares à rede virtual do Azure (VNet. Isto é, o tráfego de entrada da Internet não é permitido e as VMs não têm endereços IP públicos.
É necessário acesso limitado à Internet de saída para criar e gerenciar clusters. A conectividade de saída com a Internet precisa ser fornecida por um gateway NAT.
Conexões de saída
Nesta seção, definimos os endereços em que o GKE no Azure precisa se conectar para criar e gerenciar clusters.
Conexões gerais
As VMs do plano de controle e do pool de nós precisam ser capazes de resolver DNS e estabelecer conexões TCP de saída na porta 443.
Nomes de host de saída
O GKE no Azure pode se conectar aos seguintes endpoints:
Endpoint | Motivo |
---|---|
storage.googleapis.com |
Para buscar dependências binárias do Cloud Storage durante a instalação. |
*.gcr.io |
Para buscar dependências binárias durante a instalação do Container Registry. |
gkeconnect.googleapis.com |
Para o gerenciamento de vários clusters da edição Google Kubernetes Engine (GKE) Enterprise. |
oauth2.googleapis.com sts.googleapis.com |
Para autenticação de cluster. |
logging.googleapis.com |
Para enviar registros ao Cloud Logging |
monitoring.googleapis.com |
Para enviar métricas ao Cloud Monitoring |
opsconfigmonitoring.googleapis.com |
Para enviar metadados de recursos para o Cloud Monitoring. |
servicecontrol.googleapis.com |
Para o Cloud Audit Logging |
Google Cloud
Nesta seção, descrevemos os papéis e as permissões do Google Cloud Identity and Access Management (IAM) necessários para instalar o GKE no Azure.
Papéis do Identity and Access Management
Instalar o GKE no Azure
Para instalar a visualização do GKE no Azure, o usuário que ativa a API GKE na API Azure precisa estar em uma lista de permissões.
Gerenciar clusters
Para gerenciar clusters do GKE, é possível usar papéis predefinidos do IAM. Para mais informações, consulte Permissões da API.
APIs Google Cloud
O GKE no Azure usa as seguintes APIs no projeto do Google Cloud:
gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com
Configurar a estação de trabalho
Para instalar e fazer upgrade do GKE na instalação do Azure, você precisa ter acesso a uma estação de trabalho executando o Linux ou o macOS. Nesta documentação, pressupomos que você esteja usando um shell bash no Linux ou MacOS. Se você não tiver acesso a um ambiente de shell normal, poderá usar o Cloud Shell.
Azure
Para instalar o GKE no Azure, você precisa da CLI do Azure instalada. Para mais informações, consulte Instalar a CLI do Azure.
CLI do Google Cloud
Instale e gerencie o GKE no Azure com a Google Cloud CLI usando a versão 347.0.0 ou mais recente da CLI do Google Cloud. Para confirmar que você tem a CLI gcloud instalada, execute o seguinte comando:
gcloud version
Se você não tiver a CLI gcloud instalada, consulte Como instalar a Google Cloud CLI.
A seguir
- Conclua os Pré-requisitos para a instalação.