Google Cloud コンソールからクラスタを操作する

フリートに追加されると、すべてのクラスタが Google Cloud Console に表示されます。Google Cloud コンソールには、実行場所に関係なく、すべての Kubernetes クラスタとそのリソースを管理するための一元的なユーザー インターフェースが用意されています。すべてのリソースが 1 つのダッシュボードに表示され、複数の Kubernetes クラスタ間でワークロードの可視化が容易になります。

Google Cloud の GKE クラスタについては、関連する権限が付与されていれば、ノードやワークロードなどのクラスタの詳細を表示するために他の操作を行う必要はありません。Google Cloud コンソールで Google Cloud クラスタを操作する際の詳細については、GKE のドキュメントをご覧ください。

ただし、フリートに Google Cloud の外部のクラスタが含まれている場合は、プラットフォーム管理者が認証を設定してこれらのクラスタにログインし、Google Cloud コンソールでクラスタの詳細を表示できるようにする必要があります。Google Cloud コンソールにログインできるように、プラットフォーム管理者が設定した認証方法を確認する必要があります。次の認証方法のどちらが構成されているかをプラットフォーム管理者に問い合わせてください。

必要なロール

プロジェクト オーナーでない場合、Google Cloud コンソールでクラスタを表示するには、少なくとも次の Identity and Access Management ロールが必要です。

  • roles/container.viewer。このロールを使用すると、ユーザーは Google Cloud コンソールで GKE クラスタのページやその他のコンテナ リソースを表示できます。このロールに含まれる権限の詳細について、または読み取り / 書き込み権限を持つロールを付与する方法については、IAM のドキュメントの Kubernetes Engine のロールをご覧ください。

  • roles/gkehub.viewer。このロールを使用すると、ユーザーは Google Cloud コンソールで Google Cloud 外のクラスタを表示できます。このロールに含まれる権限の詳細について、または読み取り / 書き込み権限を持つロールを付与する方法については、IAM ドキュメントの GKE Hub のロールをご覧ください。

登録済みクラスタを表示する

プロジェクト フリートにクラスタを登録すると、Google Cloud コンソールの GKE の [クラスタ] リストに表示されます。ただし、Google Cloud の外部にあるクラスタのノードやワークロードなどの詳細を表示するには、そのクラスタにログインして認証する必要があります。ログインが必要なクラスタには、オレンジ色の警告を示す三角形が表示され、ログインを求められます。次の例は、ログインが必要な Google Cloud 外の 2 つのクラスタがある、GKE の [クラスタ] ページを示しています。

Google Kubernetes Engine クラスタリストのスクリーンショット

クラスタにログインすると、Google Cloud クラスタの GKE と同様に、クラスタを選択してクラスタの詳細を表示できます。

Google Cloud ID を使用したログイン

クラスタが Google Cloud ID を使用するように構成されている場合は、次のログイン手順に沿って操作します。

  1. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  2. [Google ID を使用してログインします] を選択します。

  3. [Login] をクリックします。

OpenID Connect(OIDC)を使用してログインする

GKE Identity Service は LDAP ID プロバイダもサポートしていますが、Google Cloud コンソールを使用したログインは OIDC プロバイダでのみサポートされています。

GKE Identity Service で OIDC ID プロバイダを使用するようにクラスタが構成されている場合は、次の手順でログインします。

  1. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  2. [クラスタ用に構成された ID プロバイダで認証] を選択します。ID プロバイダにリダイレクトされます。ここで、ログイン、または Google Cloud コンソールがアカウントにアクセスすることへの同意が必要となる場合があります。

  3. [Login] をクリックします。

サードパーティの ID と Connect Gateway を使用してログインする

クラスタがサードパーティの ID と Connect Gateway を使用するように構成されている場合、Google Cloud Workforce Identity 連携コンソール(別名: コンソール(連携))でサードパーティの ID を使用してクラスタにログインできます。通常の Google Cloud コンソールからのログインはサポートされていません。

ログインの手順は次のとおりです。

  1. Google Cloud Workforce Identity 連携コンソールに移動し、プロバイダ ID を入力して、ID プロバイダを使用してログインします。ログインに必要な詳細情報はすべて、プラットフォーム管理者から提供されます。この設定の詳細については、コンソール(連携)へのユーザー アクセスを設定するをご覧ください。
  2. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  3. [サードパーティの ID プロバイダを使用してログインする] を選択します。

  4. [Login] をクリックします。

署名なしトークンを使用してログインする

クラスタが、Kubernetes サービス アカウントの署名なしトークンを使用するように構成されている場合は、次の手順に沿って操作します。

  1. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  2. [トークン] を選択し、[トークン] フィールドに KSA の署名なしトークンを入力します。

  3. [Login] をクリックします。

監査

Google Cloud コンソールを通したアクセスは、クラスタの API サーバーに監査ログが記録されます。

次のステップ

以下の詳細を確認する