Esta documentação é referente à versão mais recente do GKE no Azure, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Requisitos de acesso

Nesta página, descrevemos os requisitos do Azure e do Google Cloud para usar o GKE no Azure .

Azure

Nesta seção, descrevemos as permissões do Azure e o acesso à rede necessários para instalar e usar o GKE no Azure.

Permissões e papéis de instalação

Para configurar sua conta do Azure para o GKE no Azure, você precisa dos seguintes papéis integrados do Azure:

Administrador de aplicativos para criar um aplicativo do Azure Active Directory e fazer o upload de certificados.
Administrador de acesso do usuário para conceder acesso a um grupo de recursos e recursos.
Colaborador para criar recursos.

Permissões e papéis do aplicativo

Para permitir que o GKE no Azure gerencie recursos na sua conta do Azure, conceda as permissões de registro do aplicativo. A seção a seguir descreve essas permissões.

Para exemplos de como conceder essas permissões, consulte os Pré-requisitos.

criar papéis personalizados

O GKE no Azure precisa das permissões a seguir para criar papéis personalizados que concedam aos planos de controle do cluster acesso a recursos na mesma VNet.

Escopo: grupo de recursos da VNet

Permissões:

"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",

Participar da VNet

O GKE no Azure precisa das permissões a seguir para mesclar recursos à rede virtual (VNet). Também são configuradas as atribuições de papel para permitir que as instâncias de máquina virtual (VM) do plano de controle usem a rede virtual.

Escopo: recurso VNet

Permissões:

"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",

Papéis de identidade de VM

O GKE no Azure precisa dos seguintes papéis integrados do Azure para criar recursos e gerenciar atribuições de função de identidade da VM em grupos de recursos. O GKE no Azure também usa o Azure Key Vault para distribuir secrets.

Escopo: grupo de recursos do cluster

Papéis:

Acesso à rede de saída

Por padrão, os clusters do GKE no Azure são particulares à rede virtual do Azure (VNet. Isto é, o tráfego de entrada da Internet não é permitido e as VMs não têm endereços IP públicos.

É necessário acesso limitado à Internet de saída para criar e gerenciar clusters. A conectividade de saída com a Internet precisa ser fornecida por um gateway NAT.

Conexões de saída

Nesta seção, definimos os endereços em que o GKE no Azure precisa se conectar para criar e gerenciar clusters.

Conexões gerais

As VMs do plano de controle e do pool de nós precisam ser capazes de resolver DNS e estabelecer conexões TCP de saída na porta 443.

Nomes de host de saída

O GKE no Azure pode se conectar aos seguintes endpoints:

Endpoint	Motivo
`storage.googleapis.com`	Para buscar dependências binárias do Cloud Storage durante a instalação.
`*.gcr.io`	Para buscar dependências binárias durante a instalação do Container Registry.
`gkeconnect.googleapis.com`	Para o gerenciamento de vários clusters da edição Google Kubernetes Engine (GKE) Enterprise.
`oauth2.googleapis.com` `sts.googleapis.com`	Para autenticação de cluster.
`logging.googleapis.com`	Para enviar registros ao Cloud Logging
`monitoring.googleapis.com`	Para enviar métricas ao Cloud Monitoring
`opsconfigmonitoring.googleapis.com`	Para enviar metadados de recursos para o Cloud Monitoring.
`servicecontrol.googleapis.com`	Para o Cloud Audit Logging

Google Cloud

Nesta seção, descrevemos os papéis e as permissões do Google Cloud Identity and Access Management (IAM) necessários para instalar o GKE no Azure.

Papéis do Identity and Access Management

Instalar o GKE no Azure

Para instalar a visualização do GKE no Azure, o usuário que ativa a API GKE na API Azure precisa estar em uma lista de permissões.

Gerenciar clusters

Para gerenciar clusters do GKE, é possível usar papéis predefinidos do IAM. Para mais informações, consulte Permissões da API.

APIs Google Cloud

O GKE no Azure usa as seguintes APIs no projeto do Google Cloud:

gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com

Configurar a estação de trabalho

Para instalar e fazer upgrade do GKE na instalação do Azure, você precisa ter acesso a uma estação de trabalho executando o Linux ou o macOS. Nesta documentação, pressupomos que você esteja usando um shell bash no Linux ou MacOS. Se você não tiver acesso a um ambiente de shell normal, poderá usar o Cloud Shell.

Azure

Para instalar o GKE no Azure, você precisa da CLI do Azure instalada. Para mais informações, consulte Instalar a CLI do Azure.

CLI do Google Cloud

Instale e gerencie o GKE no Azure com a Google Cloud CLI usando a versão 347.0.0 ou mais recente da CLI do Google Cloud. Para confirmar que você tem a CLI gcloud instalada, execute o seguinte comando:

gcloud version

Se você não tiver a CLI gcloud instalada, consulte Como instalar a Google Cloud CLI.

A seguir

Conclua os Pré-requisitos para a instalação.