Esta documentação é referente à versão mais recente do GKE no Azure, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Conectar-se e autenticar-se no cluster

Nesta página, explicamos como se conectar e autenticar no GKE no Azure.

Você tem várias opções para autenticação nos clusters do GKE. Todas as opções a seguir presumem que o gateway de conexão ou o usuário é capaz de se conectar ao plano de controle do cluster:

Identidade do Google: a opção de autenticação padrão fornecida pelo GKE no Azure sem configuração extra.
Open ID Connect (OIDC) : aceito pelo serviço de identidade do GKE

Autenticação de identidade do Google

Por padrão, a API GKE Multi-Cloud concede ao usuário que cria o cluster as políticas de controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes que permitem ao usuário se autenticar no cluster usando a identidade do Google. O usuário que criou o cluster pode adicionar outros usuários como usuários administradores com acesso administrativo total ao cluster.

Além da política de permissões do RBAC que concede o papel clusterrole/cluster-admin aos usuários administradores, a API GKE Multi-Cloud configura uma política de personificação que autoriza o agente do Connect a enviar solicitações ao servidor da API Kubernetes em nome de um usuário administrador.

É possível autenticar-se no cluster com a identidade do Google das seguintes maneiras:

Usar kubectl com identidade da CLI gcloud

É possível usar a Google Cloud CLI para criar um kubeconfig que utiliza a identidade do usuário autenticado com gcloud auth login. Em seguida, use kubectl para acessar o cluster.

Para acesso kubectl ao usar o gateway do Connect, se um usuário administrador não for um proprietário do projeto, ele precisará ter, no mínimo, os seguintes papéis no projeto:

roles/gkehub.gatewayAdmin: este papel permite que um usuário acesse a API Connect Gateway para usar kubectl para gerenciar o cluster.
- Se um usuário precisar apenas de acesso somente leitura aos clusters conectados, conceda a roles/gkehub.gatewayReader.
- Se um usuário precisar de acesso de leitura/gravação aos clusters conectados, conceda roles/gkehub.gatewayEditor.
roles/gkehub.viewer: esse papel permite que um usuário recupere kubeconfigs do cluster.

Para ver detalhes sobre as permissões incluídas nesses papéis, consulte Papéis do GKE Hub na documentação do IAM.

Saiba mais sobre como conceder permissões e papéis do IAM em Como conceder, alterar e revogar acesso a recursos.

Depois que um usuário administrador tiver os papéis necessários, siga as etapas em Configurar o acesso do cluster para o kubectl.

Usar o Console do Google Cloud

Os usuários administradores que não são proprietários de projetos e querem interagir com clusters usando o console precisam, no mínimo, das seguintes funções:

roles/container.viewer. Com esse papel, os usuários podem ver a página "Clusters do GKE" e outros recursos do contêiner no console do Google Cloud. Para detalhes sobre as permissões incluídas nesse papel, consulte Papéis do Kubernetes Engine na documentação do IAM.
roles/gkehub.viewer. Com esse papel, os usuários podem ver os clusters fora do Google Cloud no console do Google Cloud. Esse é um dos papéis necessários para o acesso a kubectl. Se você já concedeu esse papel a um usuário, não é necessário fazer isso novamente. Para ver detalhes sobre as permissões incluídas nesse papel, consulte Papéis do GKE Hub na documentação do IAM.

Saiba mais sobre como conceder permissões e papéis do IAM em Como conceder, alterar e revogar acesso a recursos.

Para informações sobre como fazer login no cluster usando o console, consulte Fazer login usando sua identidade do Google Cloud.

Use o Grupos do Google

Para se conectar ao cluster como membro de um grupo do Google, consulte Conectar grupos do Google ao GKE no Azure.

Autenticar com OIDC

Para informações sobre a autenticação no seu cluster com o OIDC, consulte Gerenciar a identidade com o GKE Identity Service.

Autenticar com identidades externas

Para informações sobre como autenticar no cluster com identidades externas, consulte Autenticar com identidades externas.

Conectar-se ao plano de controle do seu cluster

Todos os GKE no Azure são criados em sub-redes particulares. Toda a infraestrutura de cluster subjacente (por exemplo, nós e balanceadores de carga) é provisionada apenas com endereços IP particulares RFC 1918.

Para gerenciar o cluster, você precisa se conectar ao balanceador de carga do plano de controle do cluster. Se o cluster não conseguir se conectar diretamente ao plano de controle, mas fizer conexões de saída, será possível se conectar ao plano de controle pelo gateway Connect, um proxy reverso hospedado pelo Google no cluster. Para mais informações, consulte Como se conectar a clusters registrados com o gateway do Connect.

Também é possível se conectar pelo serviço ExpressRoute do Azure.