Trabalhar com clusters no Console do Google Cloud

Depois que eles são adicionados à sua frota, todos os clusters aparecem no Console do Google Cloud. O Console do Google Cloud oferece uma interface central do usuário para gerenciar todos os clusters do Kubernetes e seus recursos, independentemente de onde eles estejam sendo executados. Todos os recursos são exibidos em um único painel, e é fácil ter visibilidade das cargas de trabalho em vários clusters do Kubernetes.

Para clusters do GKE no Google Cloud, você não precisa fazer mais nada para ver detalhes dos clusters, como nós e cargas de trabalho, desde que tenha as permissões relevantes. Saiba mais sobre como trabalhar com clusters do Google Cloud no Console do Google Cloud na documentação do GKE.

No entanto, se a frota incluir clusters fora do Google Cloud, o administrador da plataforma precisará configurar a autenticação para que você possa fazer login nesses clusters e visualizar os detalhes no console do Google Cloud. Você precisa saber qual método de autenticação o administrador da plataforma configurou para fazer login no console do Google Cloud. Pergunte ao administrador da plataforma quais dos seguintes métodos de autenticação foram configurados:

Funções exigidas

Se você não for proprietário do projeto, precisará ter os seguintes papéis do Identity and Access Management para ver clusters no console do Google Cloud:

  • roles/container.viewer. Com esse papel, os usuários podem ver a página "Clusters do GKE" e outros recursos do contêiner no console do Google Cloud. Para ver detalhes sobre as permissões incluídas nesse papel ou conceder um papel com permissões de leitura/gravação, consulte Papéis do Kubernetes Engine na documentação do IAM.

  • roles/gkehub.viewer. Com esse papel, os usuários podem ver os clusters fora do Google Cloud no console do Google Cloud. Para ver detalhes sobre as permissões incluídas nesse papel ou conceder um papel com permissões de leitura/gravação, consulte Papéis do GKE Hub na documentação do IAM.

  • roles/gkeonprem.viewer: Para usuários do Google Distributed Cloud, esse papel é necessário além de roles/gkehub.viewer para visualizar clusters locais em bare metal ou VMware no console do Google Cloud. Para ver detalhes sobre as permissões incluídas nesse papel ou conceder um papel com permissões de leitura/gravação, consulte Papéis do GKE On-Prem na documentação do IAM.

Ver clusters registrados

Depois que você registrar um cluster na frota do projeto, ele vai aparecer no console do Google Cloud na lista Clusters do GKE. No entanto, para ver mais detalhes, como nós e cargas de trabalho para qualquer cluster fora do Google Cloud, você precisa fazer login e autenticar no cluster. Os clusters que exigem login mostram um triângulo de aviso laranja e solicitam que você faça login. O exemplo a seguir mostra a página Clusters do GKE com dois clusters fora do Google Cloud que exigem login.

Captura de tela da lista de clusters do Google Kubernetes Engine

Depois de fazer login em um cluster do Anthos, é possível selecionar o cluster e visualizar os detalhes dele, como um cluster do GKE no Google Cloud.

Faça login usando sua identidade do Google Cloud

Se o cluster estiver configurado para usar sua identidade do Google Cloud, siga estas etapas para fazer login:

  1. Na página Clusters do GKE no Console do Google Cloud, clique em Ações ao lado do cluster registrado e, em seguida, clique em Fazer login. de dois minutos.

    Acesse os clusters do GKE

  2. Selecione Usar a identidade do Google para fazer login.

  3. Clique em Login.

Fazer login usando o OpenID Connect (OIDC)

Lembre-se que, embora o serviço de identidade do GKE também seja compatível com provedores de identidade LDAP, o login pelo console do Google Cloud é compatível apenas com provedores do OIDC.

Se o ID do Microsoft Entra (Azure AD) estiver configurado como um provedor de identidade OIDC para seu cluster usando a âncora azuread no ClientConfig, siga as instruções em Fazer login usando o ID do Microsoft Entra (Azure AD).

Se o cluster estiver configurado para usar um provedor de identidade do OIDC com o serviço de identidade do GKE, siga estas etapas para fazer login:

  1. Na página Clusters do GKE no Console do Google Cloud, clique em Ações ao lado do cluster registrado e, em seguida, clique em Fazer login. de dois minutos.

    Acesse os clusters do GKE

  2. Selecione Autentique com o Provedor de identidade configurado para o cluster. Você será redirecionado para o provedor de identidade, onde talvez seja necessário fazer login ou consentir para que o Console do Google Cloud acesse sua conta.

  3. Clique em Login.

Fazer login usando o Microsoft Entra ID (Azure AD)

Se o cluster estiver configurado para usar o Microsoft Entra ID (Azure ID) com o serviço de identidade do GKE usando a âncora azuread (também chamada de configuração avançada do Azure AD), siga estas etapas para fazer login:

  1. Na página Clusters do GKE no Console do Google Cloud, clique em Ações ao lado do cluster registrado e, em seguida, clique em Fazer login. de dois minutos.

    Acesse os clusters do GKE

  2. Selecione Autenticar com o ID do Microsoft Entra (antigo AD do Azure). Você será redirecionado para o provedor de identidade, onde talvez seja necessário fazer login ou consentir para que o Console do Google Cloud acesse sua conta.

  3. Clique em Login.

Fazer login usando a identidade de terceiros e o gateway do Connect

Se o cluster estiver configurado para usar a identidade de terceiros com o gateway do Connect, você vai poder fazer login no cluster com essa identidade no console de federação de identidade da força de trabalho do Google Cloud, também conhecido como console (federado). Não é possível fazer login no console normal do Google Cloud.

Siga estas etapas para fazer login:

  1. Acesse o console da federação de identidade de colaboradores do Google Cloud, digite o ID do provedor e faça login usando seu provedor de identidade. O administrador da plataforma precisa fornecer todos os detalhes necessários para fazer login. Para saber mais sobre como isso está configurado, consulte Configurar o acesso do usuário ao console (federado).
  2. Na página Clusters do GKE no Console do Google Cloud, clique em Ações ao lado do cluster registrado e, em seguida, clique em Fazer login. de dois minutos.

    Acesse os clusters do GKE

  3. Selecione Usar um provedor de identidade de terceiros para fazer login.

  4. Clique em Login.

Faça login usando um token do portador

Se o cluster estiver configurado para usar um token do portador da conta de serviço do Kubernetes, siga estas etapas:

  1. Na página Clusters do GKE no Console do Google Cloud, clique em Ações ao lado do cluster registrado e, em seguida, clique em Fazer login. de dois minutos.

    Acesse os clusters do GKE

  2. Selecione Token e preencha o campo Token com o token do portador da KSA.

  3. Clique em Login.

Auditoria

Os acessos por meio do Console do Google Cloud têm os registros de auditoria feitos no servidor de API do cluster.

A seguir

Saiba mais sobre estas situações: