Dokumentasi ini ditujukan untuk GKE versi terbaru di Azure, yang dirilis pada November 2021. Lihat Catatan rilis untuk mengetahui informasi selengkapnya.

Menghubungkan dan melakukan autentikasi ke cluster

Halaman ini menjelaskan cara menghubungkan dan melakukan autentikasi ke GKE di Azure.

Anda memiliki beberapa opsi untuk melakukan autentikasi ke cluster GKE. Semua opsi berikut mengasumsikan bahwa Gateway koneksi atau pengguna dapat terhubung ke bidang kontrol cluster Anda:

Identitas Google: Opsi autentikasi default yang disediakan oleh GKE di Azure tanpa konfigurasi tambahan.
Open ID Connect (OIDC) : Didukung oleh GKE Identity Service

Autentikasi identitas Google

Secara default, GKE Multi-Cloud API memberi pengguna yang membuat cluster kebijakan kontrol akses berbasis peran (RBAC) Kubernetes yang memungkinkan pengguna melakukan autentikasi dengan cluster menggunakan identitas Google mereka. Pengguna yang membuat cluster dapat menambahkan pengguna lain sebagai pengguna admin dengan akses administratif penuh ke cluster.

Selain kebijakan izin RBAC yang memberikan peran clusterrole/cluster-admin kepada pengguna admin, GKE Multi-Cloud API mengonfigurasi kebijakan peniruan identitas yang mengizinkan Connect agent untuk mengirim permintaan ke server Kubernetes API atas nama pengguna admin.

Anda dapat melakukan autentikasi ke cluster menggunakan identitas Google dengan cara berikut:

Menggunakan kubectl dengan identitas dari gcloud CLI

Anda dapat menggunakan Google Cloud CLI untuk membuat kubeconfig yang menggunakan identitas pengguna yang diautentikasi dengan gcloud auth login. Selanjutnya, Anda dapat menggunakan kubectl untuk mengakses cluster.

Untuk akses kubectl saat menggunakan gateway Connect, jika pengguna admin bukan pemilik project, minimal, pengguna harus diberi peran berikut dalam project:

roles/gkehub.gatewayAdmin: Peran ini memungkinkan pengguna mengakses Connect gateway API agar dapat menggunakan kubectl untuk mengelola cluster.
- Jika pengguna hanya memerlukan akses hanya baca ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayReader sebagai gantinya.
- Jika pengguna memerlukan akses baca / tulis ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayEditor.
roles/gkehub.viewer: Peran ini memungkinkan pengguna mengambil cluster kubeconfigs.

Untuk mengetahui detail tentang izin yang tercakup dalam peran ini, baca peran GKE Hub dalam dokumentasi IAM.

Anda dapat mempelajari lebih lanjut cara memberikan izin dan peran IAM dalam artikel Memberikan, mengubah, dan mencabut akses ke resource.

Setelah pengguna admin memiliki peran yang diperlukan, ikuti langkah-langkah dalam Mengonfigurasi akses cluster untuk kubectl.

Gunakan Konsol Google Cloud

Pengguna admin yang bukan pemilik project dan ingin berinteraksi dengan cluster menggunakan konsol memerlukan setidaknya peran berikut:

roles/container.viewer. Peran ini memungkinkan pengguna melihat halaman Cluster GKE dan resource container lainnya di Konsol Google Cloud. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat peran Kubernetes Engine dalam dokumentasi IAM.
roles/gkehub.viewer. Peran ini memungkinkan pengguna melihat cluster di luar Google Cloud di Konsol Google Cloud. Perhatikan bahwa ini adalah salah satu peran yang diperlukan untuk akses kubectl. Jika sudah memberikan peran ini kepada pengguna, Anda tidak perlu memberikannya lagi. Untuk mengetahui detail izin yang disertakan dalam peran ini, lihat peran GKE Hub dalam dokumentasi IAM.

Anda dapat mempelajari lebih lanjut cara memberikan izin dan peran IAM dalam artikel Memberikan, mengubah, dan mencabut akses ke resource.

Untuk mengetahui informasi tentang cara login ke cluster dari konsol, lihat Login menggunakan Google Cloud Identity

Gunakan Google Grup

Untuk terhubung ke cluster Anda sebagai anggota grup Google, lihat Menghubungkan grup Google ke GKE di Azure.

Melakukan autentikasi dengan OIDC

Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster dengan OIDC, lihat Mengelola identitas dengan GKE Identity Service.

Mengautentikasi dengan identitas eksternal

Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster dengan identitas eksternal, lihat Mengautentikasi dengan identitas eksternal.

Hubungkan ke bidang kontrol cluster Anda

Semua GKE di Azure dibuat di subnet pribadi. Semua infrastruktur cluster yang mendasarinya (misalnya, node dan endpoint load balancer) hanya disediakan dengan alamat IP RFC 1918 pribadi.

Untuk mengelola cluster secara langsung, Anda harus dapat terhubung ke load balancer bidang kontrol cluster Anda. Jika cluster tidak dapat terhubung langsung ke bidang kontrol, tetapi dapat melakukan koneksi keluar, Anda dapat terhubung ke bidang kontrol melalui gateway Connect, sebuah proxy terbalik yang dihosting Google ke cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.

Anda juga dapat terhubung melalui layanan ExpressRoute Azure.