Über die Google Cloud Console mit Clustern arbeiten

Nachdem sie zu Ihrer Flotte hinzugefügt wurden, erscheinen alle Cluster in der der Google Cloud Console. Die Google Cloud Console bietet eine zentrale Benutzeroberfläche zum Verwalten aller Kubernetes-Cluster und ihrer Ressourcen, unabhängig davon, wo diese ausgeführt werden. Alle Ihre Ressourcen werden in einem einzigen Dashboard angezeigt und Sie können Ihre Arbeitslasten in mehreren Kubernetes-Clustern schnell erkennen.

Für GKE-Cluster in Google Cloud müssen Sie nichts weiter tun, um Clusterdetails wie Knoten und Arbeitslasten aufzurufen, sofern Sie die entsprechenden Berechtigungen haben. Weitere Informationen zum Arbeiten mit Google Cloud-Clustern in der Google Cloud Console finden Sie in der GKE-Dokumentation.

Wenn Ihre Flotte jedoch Cluster außerhalb von Google Cloud enthält, muss Ihr Plattformadministrator die Authentifizierung einrichten, damit Sie sich bei diesen Clustern anmelden und deren Details in der Google Cloud Console ansehen können. Sie müssen wissen, welche Authentifizierungsmethode Ihr Plattformadministrator eingerichtet hat, damit Sie sich bei der Google Cloud Console anmelden können. Fragen Sie Ihren Plattformadministrator, welche der folgenden Authentifizierungsmethoden konfiguriert wurden:

Erforderliche Rollen

Wenn Sie kein Projektinhaber sind, benötigen Sie mindestens die folgenden IAM-Rollen (Identity and Access Management), um Cluster in der Google Cloud Console anzeigen zu können:

  • roles/container.viewer. Mit dieser Rolle können Nutzer die GKE-Clusterseite und andere Containerressourcen in der Google Cloud Console aufrufen. Ausführliche Informationen zu den in dieser Rolle enthaltenen Berechtigungen und zum Zuweisen einer Rolle mit Lese-/Schreibberechtigungen finden Sie in der IAM-Dokumentation unter Kubernetes Engine-Rollen.

  • roles/gkehub.viewer. Mit dieser Rolle können Nutzer die Cluster außerhalb von Google Cloud in der Google Cloud Console aufrufen. Ausführliche Informationen zu den in dieser Rolle enthaltenen Berechtigungen und zum Zuweisen einer Rolle mit Lese-/Schreibberechtigungen finden Sie in der IAM-Dokumentation unter GKE-Hub-Rollen.

  • roles/gkeonprem.viewer: Für Nutzer von Google Distributed Cloud ist diese Rolle zusätzlich zu roles/gkehub.viewer erforderlich, um lokale Cluster auf Bare Metal oder VMware in der Google Cloud Console aufzurufen. Ausführliche Informationen zu den in dieser Rolle enthaltenen Berechtigungen und zum Zuweisen einer Rolle mit Lese-/Schreibberechtigungen finden Sie in der IAM-Dokumentation unter GKE-on-prem-Rollen.

Registrierte Cluster ansehen

Nachdem Sie einen Cluster in Ihrer Projektflotte registriert haben, wird er in der Google Cloud Console in der GKE-Liste Cluster angezeigt. Wenn Sie jedoch weitere Details wie Knoten und Arbeitslasten für einen Cluster außerhalb von Google Cloud sehen möchten, müssen Sie sich beim Cluster anmelden und authentifizieren. Cluster, für die eine Anmeldung erforderlich ist, sind mit einem orangefarbenen Warndreieck gekennzeichnet und werden aufgefordert, sich anzumelden. Das folgende Beispiel zeigt die GKE-Seite Cluster mit zwei Clustern außerhalb von Google Cloud, für die eine Anmeldung erforderlich ist.

Screenshot der Liste der Google Kubernetes Engine-Cluster

Nachdem Sie sich beim Cluster angemeldet haben, können Sie den Cluster auswählen und Clusterdetails aufrufen, wie bei einem GKE-Cluster in Google Cloud.

Mit Ihrer Google Cloud-Identität anmelden

Wenn Ihr Cluster für die Verwendung Ihrer Google Cloud-Identität konfiguriert ist, führen Sie die folgenden Schritte aus, um sich anzumelden:

  1. Klicken Sie auf der Seite GKE-Cluster in der Google Cloud Console neben dem registrierten Cluster auf Aktionen und dann auf Anmelden.

    Zu GKE-Clustern

  2. Mit Google-Identität anmelden auswählen

  3. Klicken Sie auf Login (Anmelden).

Mit OpenID Connect (OIDC) anmelden

Obwohl der GKE Identity Service auch LDAP-Identitätsanbieter unterstützt, wird die Anmeldung über die Cloud Console jedoch nur für OIDC-Anbieter unterstützt.

Wenn Microsoft Entra ID (Azure AD) mit dem azuread-Anker in der ClientConfig als OIDC-Identitätsanbieter für Ihren Cluster konfiguriert ist, folgen Sie stattdessen der Anleitung unter Mit Microsoft Entra ID (Azure AD) anmelden.

Wenn Ihr Cluster für die Verwendung eines OIDC-Identitätsanbieters mit GKE Identity Service konfiguriert ist, führen Sie die folgenden Schritte aus, um sich anzumelden:

  1. Klicken Sie auf der Seite GKE-Cluster in der Google Cloud Console neben dem registrierten Cluster auf Aktionen und dann auf Anmelden.

    Zu GKE-Clustern

  2. Mit dem Identitätsanbieter authentifizieren, der für den Cluster konfiguriert wurde auswählen. Sie werden zu Ihrem Identitätsanbieter weitergeleitet. Dort müssen Sie sich bei der Google Cloud Console anmelden, die auf Ihr Konto zugreift, und sich mit diesem Zugriff einverstanden erklären.

  3. Klicken Sie auf Login (Anmelden).

Mit Microsoft Entra ID (Azure AD) anmelden

Wenn Ihr Cluster für die Verwendung von Microsoft Entra ID (Azure ID) mit GKE Identity Service mithilfe des azuread-Ankers (auch als Azure AD Advanced-Konfiguration bezeichnet), folgen Sie diesen Schritten, um sich anzumelden:

  1. Klicken Sie auf der Seite GKE-Cluster in der Google Cloud Console neben dem registrierten Cluster auf Aktionen und dann auf Anmelden.

    Zu GKE-Clustern

  2. Wählen Sie Mit Microsoft Entra ID (früher Azure AD) authentifizieren. Sie werden zu Ihrem Identitätsanbieter weitergeleitet. Dort müssen Sie sich bei der Google Cloud Console anmelden, die auf Ihr Konto zugreift, und sich mit diesem Zugriff einverstanden erklären.

  3. Klicken Sie auf Login (Anmelden).

Mit Drittanbieter-Identität und dem Connect-Gateway anmelden

Wenn Ihr Cluster für die Verwendung der Drittanbieter-Identität mit dem Connect-Gateway konfiguriert ist, können Sie sich mit Ihrer Drittanbieter-Identität in der Google Cloud Console für die Mitarbeiteridentitätsföderation im Cluster anmelden, die auch einfach Console (föderiert) genannt wird. Die Anmeldung über die reguläre Google Cloud Console wird nicht unterstützt.

So melden Sie sich an:

  1. Rufen Sie die Google Cloud Console für die Mitarbeiteridentitätsföderation auf, geben Sie Ihre Anbieter-ID ein und melden Sie sich mit Ihrem Identitätsanbieter an. Ihr Plattformadministrator sollte Ihnen alle Details zur Anmeldung zur Verfügung stellen. Weitere Informationen zur Einrichtung finden Sie unter Nutzerzugriff auf die Console (föderiert) einrichten.
  2. Klicken Sie auf der Seite GKE-Cluster in der Google Cloud Console neben dem registrierten Cluster auf Aktionen und dann auf Anmelden.

    Zu GKE-Clustern

  3. Wählen Sie Über Identitätsanbieter von Drittanbietern anmelden aus.

  4. Klicken Sie auf Login (Anmelden).

Mit einem Inhabertoken anmelden

Wenn Ihr Cluster für die Verwendung des Inhabertokens eines Kubernetes-Dienstkontos konfiguriert ist, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf der Seite GKE-Cluster in der Google Cloud Console neben dem registrierten Cluster auf Aktionen und dann auf Anmelden.

    Zu GKE-Clustern

  2. Wählen Sie Token aus und tragen Sie im Feld Token das Inhabertoken des KSA ein.

  3. Klicken Sie auf Login (Anmelden).

Audit

Zugriffe über die Google Cloud Console werden auf dem API-Server des Clusters über Audit-Logging protokolliert.

Nächste Schritte

Mehr zu folgenden Themen: