Cette documentation concerne la version la plus récente de GKE sur Azure, publiée en novembre 2021. Consultez les notes de version pour plus d'informations.

Se connecter au cluster et s'authentifier

Cette page explique comment se connecter et s'authentifier auprès de GKE sur Azure.

Vous disposez de plusieurs options d'authentification auprès des clusters GKE. Toutes les options suivantes supposent que la passerelle Connect ou l'utilisateur est en mesure de se connecter au plan de contrôle de votre cluster:

Identité Google: option d'authentification par défaut fournie par GKE sur Azure sans configuration supplémentaire.
Open ID Connect (OIDC) : compatible avec GKE Identity Service

Authentification avec l'identité Google

Par défaut, l'API GKE Multi-Cloud accorde à l'utilisateur qui crée le cluster les stratégies de contrôle des accès basé sur les rôles (RBAC) de Kubernetes, qui permettent à l'utilisateur de s'authentifier auprès du cluster à l'aide de son identité Google. L'utilisateur qui a créé le cluster peut ajouter d'autres utilisateurs en tant qu'administrateurs avec un accès administrateur complet au cluster.

En plus de la règle d'autorisations RBAC qui attribue le rôle clusterrole/cluster-admin aux administrateurs, l'API Multi-Cloud GKE configure une règle d'emprunt d'identité qui autorise l'agent Connect à envoyer des requêtes au serveur d'API Kubernetes pour le compte d'un administrateur.

Vous pouvez vous authentifier auprès de votre cluster avec votre identité Google de différentes manières :

Utiliser kubectl avec l'identité depuis la gcloud CLI

Vous pouvez utiliser la Google Cloud CLI pour créer un kubeconfig qui utilise l'identité de l'utilisateur authentifié avec gcloud auth login. Vous pouvez ensuite utiliser kubectl pour accéder au cluster.

Pour un accès kubectl lors de l'utilisation de la passerelle Connect, si un administrateur n'est pas propriétaire du projet, il doit au minimum disposer des rôles suivants dans le projet:

roles/gkehub.gatewayAdmin : ce rôle permet à un utilisateur d'accéder à l'API Connect Gateway pour gérer le cluster avec kubectl.
- Si un utilisateur n'a besoin que d'un accès en lecture seule aux clusters connectés, vous pouvez accorder le rôle roles/gkehub.gatewayReader à la place.
- Si un utilisateur a besoin d'un accès en lecture/écriture aux clusters connectés, vous pouvez accorder le rôle roles/gkehub.gatewayEditor.
roles/gkehub.viewer : ce rôle permet à un utilisateur de récupérer les fichiers kubeconfigs du cluster.

Pour en savoir plus sur les autorisations incluses dans ces rôles, consultez la page Rôles GKE Hub dans la documentation IAM.

Pour en savoir plus sur l'attribution d'autorisations et de rôles IAM, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Une fois qu'un administrateur dispose des rôles requis, suivez les étapes décrites dans la section Configurer l'accès au cluster pour kubectl.

Utiliser Google Cloud Console

Les administrateurs qui ne sont pas propriétaires de projet et qui souhaitent interagir avec des clusters à l'aide de la console doivent au minimum disposer des rôles suivants:

roles/container.viewer. Ce rôle permet aux utilisateurs d'afficher la page "Clusters GKE" et les autres ressources de conteneur dans la console Google Cloud. Pour en savoir plus sur les autorisations incluses dans ce rôle, consultez la page Rôles Kubernetes Engine dans la documentation IAM.
roles/gkehub.viewer. Ce rôle permet aux utilisateurs d'afficher les clusters situés en dehors de Google Cloud dans la console Google Cloud. Notez qu'il s'agit de l'un des rôles requis pour accéder à kubectl. Si vous avez déjà attribué ce rôle à un utilisateur, vous n'avez pas besoin de l'accorder à nouveau. Pour en savoir plus sur les autorisations incluses dans ce rôle, consultez la page Rôles GKE Hub dans la documentation IAM.

Pour en savoir plus sur l'attribution d'autorisations et de rôles IAM, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Pour en savoir plus sur la connexion au cluster depuis la console, consultez la page Se connecter à l'aide de votre identité Google Cloud.

Utiliser Google Groupes

Pour vous connecter à votre cluster en tant que membre d'un groupe Google, consultez la page Connecter des groupes Google à GKE sur Azure.

Authentification avec OIDC

Pour en savoir plus sur l'authentification auprès de votre cluster avec OIDC, consultez la page Gérer l'identité avec GKE Identity Service.

S'authentifier avec des identités externes

Pour en savoir plus sur l'authentification auprès d'un cluster avec des identités externes, consultez la section S'authentifier avec des identités externes.

Se connecter au plan de contrôle de votre cluster

Tous les services GKE sur Azure sont créés dans des sous-réseaux privés. Toute l'infrastructure de cluster sous-jacente (par exemple, les nœuds et les points de terminaison des équilibreurs de charge) n'est provisionnée qu'avec des adresses IP RFC 1918 privées.

Pour gérer directement votre cluster, vous devez pouvoir vous connecter à l'équilibreur de charge du plan de contrôle de votre cluster. Si votre cluster ne peut pas se connecter directement à votre plan de contrôle, mais peut établir des connexions sortantes, vous pouvez vous connecter au plan de contrôle via la passerelle Connect, un proxy inverse hébergé par Google. Pour en savoir plus, consultez la page Se connecter à des clusters enregistrés avec la passerelle Connect.

Vous pouvez également vous connecter via le service ExpressRoute d'Azure.