Utiliser des clusters depuis Google Cloud Console

Après avoir été ajoutés à votre parc, tous les clusters de parc apparaissent dans la console Google Cloud. La console Google Cloud offre une interface utilisateur centralisée pour gérer tous vos clusters Kubernetes et leurs ressources, quel que soit l'emplacement d'exécution. Toutes vos ressources sont affichées dans un tableau de bord unique, et vous pouvez obtenir facilement une visibilité sur vos charges de travail sur plusieurs clusters Kubernetes.

Pour les clusters GKE sur Google Cloud, vous n'avez rien à faire de plus pour afficher les détails du cluster, tels que les nœuds et les charges de travail, à condition de disposer des autorisations appropriées. Pour en savoir plus sur l'utilisation des clusters Google Cloud dans la console Google Cloud, consultez la documentation GKE.

Toutefois, si votre parc inclut des clusters en dehors de Google Cloud, votre administrateur de plate-forme doit configurer l'authentification afin que vous puissiez vous connecter à ces clusters et afficher leurs détails dans la console Google Cloud. Vous devez connaître la méthode d'authentification configurée par votre administrateur de plate-forme pour pouvoir vous connecter à la console Google Cloud. Demandez à votre administrateur de plate-forme quelles sont les méthodes d'authentification utilisées parmi les méthodes suivantes :

Rôles requis

Si vous n'êtes pas propriétaire d'un projet, vous devez disposer au minimum des rôles Identity and Access Management suivants pour afficher les clusters dans la console Google Cloud:

  • roles/container.viewer. Ce rôle permet aux utilisateurs d'afficher la page "Clusters GKE" et les autres ressources de conteneur dans la console Google Cloud. Pour en savoir plus sur les autorisations incluses dans ce rôle ou sur l'attribution d'un rôle avec des autorisations de lecture/écriture, consultez la page Rôles Kubernetes Engine dans la documentation IAM.

  • roles/gkehub.viewer. Ce rôle permet aux utilisateurs d'afficher les clusters situés en dehors de Google Cloud dans la console Google Cloud. Pour en savoir plus sur les autorisations incluses dans ce rôle ou sur l'attribution d'un rôle avec des autorisations de lecture/écriture, consultez la page Rôles GKE Hub dans la documentation IAM.

Afficher les clusters enregistrés

Une fois que vous avez enregistré un cluster dans le parc de votre projet, il apparaît dans la console Google Cloud dans la liste de clusters GKE. Toutefois, pour afficher plus de détails, tels que les nœuds et les charges de travail d'un cluster en dehors de Google Cloud, vous devez vous connecter et vous authentifier auprès du cluster. Les clusters nécessitant une connexion affichent un triangle d'avertissement orange et vous invitent à vous connecter. L'exemple suivant montre la page Clusters GKE avec deux clusters en dehors de Google Cloud qui nécessitent une connexion.

Capture d'écran de la liste des clusters Google Kubernetes Engine

Une fois que vous êtes connecté à un cluster, vous pouvez sélectionner le cluster et afficher ses détails, comme vous le feriez avec un cluster GKE sur Google Cloud.

Se connecter à l'aide de votre identité Google Cloud

Si votre cluster est configuré pour utiliser votre identité Google Cloud, procédez comme suit:

  1. Sur la page Clusters GKE de la console Google Cloud, cliquez sur Actions à côté du cluster enregistré, puis sur Connexion.

    Accéder aux clusters GKE

  2. Sélectionnez Utilisez votre identité Google pour vous connecter.

  3. Cliquez sur Login (Connexion).

Se connecter à l'aide d'OpenID Connect (OIDC)

Bien que GKE Identity Service accepte également les fournisseurs d'identité LDAP, la connexion via la console Google Cloud n'est possible que pour les fournisseurs OIDC.

Si votre cluster est configuré pour utiliser un fournisseur d'identité OIDC avec GKE Identity Service, procédez comme suit pour vous connecter:

  1. Sur la page Clusters GKE de la console Google Cloud, cliquez sur Actions à côté du cluster enregistré, puis sur Connexion.

    Accéder aux clusters GKE

  2. Sélectionnez S'authentifier auprès du fournisseur d'identité configuré pour le cluster. Vous êtes redirigé vers votre fournisseur d'identité et il vous faudra peut-être vous connecter ou autoriser Google Cloud Console à accéder à votre compte.

  3. Cliquez sur Login (Connexion).

Se connecter à l'aide d'une identité tierce et de la passerelle Connect

Si votre cluster est configuré pour utiliser une identité tierce avec la passerelle Connect, vous pouvez vous connecter au cluster avec votre identité tierce dans la console de fédération d'identité de personnel Google Cloud, également appelée console (fédérée). La connexion depuis la console Google Cloud standard n'est pas possible.

Pour vous connecter, procédez comme suit:

  1. Accédez à la console de fédération d'identité de personnel Google Cloud, saisissez votre ID de fournisseur, puis connectez-vous à l'aide de votre fournisseur d'identité. L'administrateur de votre plate-forme doit vous fournir toutes les informations nécessaires pour vous connecter. Pour en savoir plus sur la configuration, consultez la section Configurer l'accès utilisateur à la console (fédérée).

  2. Sur la page Clusters GKE de la console Google Cloud, cliquez sur Actions à côté du cluster enregistré, puis sur Connexion.

    Accéder aux clusters GKE

  3. Sélectionnez Utiliser votre fournisseur d'identité tiers pour vous connecter.

  4. Cliquez sur Login (Connexion).

Se connecter à l'aide d'un jeton de support

Si votre cluster est configuré pour utiliser un jeton de support de compte de service Kubernetes, procédez comme suit:

  1. Sur la page Clusters GKE de la console Google Cloud, cliquez sur Actions à côté du cluster enregistré, puis sur Connexion.

    Accéder aux clusters GKE

  2. Sélectionnez Jeton, puis renseignez le champ Jeton avec le jeton de support du KSA.

  3. Cliquez sur Login (Connexion).

Audits

Les accès via la console Google Cloud sont enregistrés dans le journal d'audit du serveur d'API du cluster.

Étapes suivantes

En savoir plus :