Google Cloud コンソールからクラスタを操作する

フリートに追加されたクラスタは、すべて Google Cloud コンソールに表示されます。Google Cloud コンソールには、実行場所に関係なく、すべての Kubernetes クラスタとそのリソースを管理するための一元的なユーザー インターフェースが用意されています。すべてのリソースが 1 つのダッシュボードに表示され、複数の Kubernetes クラスタ間でワークロードの可視化が容易になります。

Google Cloud の GKE クラスタについては、関連する権限が付与されていれば、ノードやワークロードなどのクラスタの詳細を表示するために他の操作を行う必要はありません。Google Cloud コンソールで Google Cloud クラスタを操作する際の詳細については、GKE のドキュメントをご覧ください。

ただし、フリートに Google Cloud 外のクラスタが含まれている場合は、プラットフォーム管理者が認証を設定してから、これらのクラスタにログインして Google Cloud コンソールでクラスタの詳細を表示する必要があります。Google Cloud コンソールにログインできるように、プラットフォーム管理者が設定した認証方法を確認する必要があります。プラットフォーム管理者に、次の認証方法のどれが構成されているかを確認します。

必要なロール

プロジェクト オーナーでない場合、Google Cloud コンソールでクラスタを表示するには、少なくとも次の Identity and Access Management ロールが必要です。

  • roles/container.viewer。このロールを使用すると、ユーザーは Google Cloud コンソールで GKE クラスタのページやその他のコンテナ リソースを表示できます。このロールに含まれる権限の詳細について、または読み取り / 書き込み権限を持つロールを付与する方法については、IAM のドキュメントの Kubernetes Engine のロールをご覧ください。

  • roles/gkehub.viewer。このロールを使用すると、ユーザーは Google Cloud コンソールで Google Cloud 外のクラスタを表示できます。このロールに含まれる権限の詳細について、または読み取り / 書き込み権限を持つロールを付与する方法については、IAM ドキュメントの GKE Hub のロールをご覧ください。

  • roles/gkeonprem.viewer。Google Distributed Cloud ユーザーが Google Cloud コンソールでベアメタルまたは VMware のオンプレミス クラスタを表示するには、roles/gkehub.viewer に加えてこのロールが必要です。このロールに含まれる権限の詳細について、または読み取り / 書き込み権限を持つロールを付与する方法については、IAM ドキュメントの GKE On-Prem のロールをご覧ください。

登録済みクラスタを表示する

プロジェクト フリートにクラスタを登録すると、Google Cloud コンソールの GKE の [クラスタ] リストに表示されます。ただし、Google Cloud の外部にあるクラスタのノードやワークロードなどの詳細を表示するには、そのクラスタにログインして認証する必要があります。ログインが必要なクラスタには、警告を示すオレンジ色の三角形が表示され、ログインを求められます。次の例は、ログインが必要な Google Cloud 外の 2 つのクラスタがある、GKE の [クラスタ] ページを示しています。

Google Kubernetes Engine クラスタリストのスクリーンショット

クラスタにログインすると、Google Cloud 上の GKE クラスタと同様に、クラスタを選択してクラスタの詳細を表示できます。

Google Cloud ID を使用したログイン

クラスタが Google Cloud ID を使用するように構成されている場合は、次のログイン手順に沿って操作します。

  1. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  2. [Google ID を使用してログインします] を選択します。

  3. [Login] をクリックします。

OpenID Connect(OIDC)を使用したログイン

GKE Identity Service は LDAP ID プロバイダもサポートしていますが、Google Cloud コンソールを使用したログインは OIDC プロバイダでのみサポートされています。

ClientConfig の azuread アンカーを使用して、Microsoft Entra ID(Azure AD)がクラスタの OIDC ID プロバイダとして構成されている場合は、代わりに Microsoft Entra ID(Azure AD)を使用してログインするの手順に沿って操作します。

GKE Identity Service で OIDC ID プロバイダを使用するようにクラスタが構成されている場合は、次の手順でログインします。

  1. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  2. [クラスタ用に構成された ID プロバイダで認証] を選択します。ID プロバイダにリダイレクトされます。ここで、ログイン、または Google Cloud コンソールがアカウントにアクセスすることへの同意が必要となる場合があります。

  3. [ログイン] をクリックします。

Microsoft Entra ID(Azure AD)を使用してログインする

azuread アンカー(Azure AD の詳細構成とも呼ばれます)を使用して GKE Identity Service で Microsoft Entra ID(Azure ID)を使用するようにクラスタが構成されている場合、次の手順でログインします。

  1. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  2. [Microsoft Entra ID(旧 Azure AD)で認証する] を選択します。ID プロバイダにリダイレクトされます。ここで、ログイン、または Google Cloud コンソールがアカウントにアクセスすることへの同意が必要となる場合があります。

  3. [Login] をクリックします。

サードパーティの ID と Connect Gateway を使用したログイン

クラスタがサードパーティの ID と Connect Gateway を使用するように構成されている場合、Google Cloud Workforce Identity 連携コンソール(別名: コンソール(連携))でサードパーティの ID を使用してクラスタにログインできます。通常の Google Cloud コンソールからのログインはサポートされていません。

ログインする手順は次のとおりです。

  1. Google Cloud Workforce Identity 連携コンソールに移動してから、プロバイダ ID を入力し、ID プロバイダを使用してログインします。ログインに必要なすべての詳細情報は、プラットフォーム管理者から入手する必要があります。この設定の詳細については、コンソール(連携)へのユーザー アクセスを設定するをご覧ください。
  2. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  3. [サードパーティの ID プロバイダを使用してログイン] を選択します。

  4. [Login] をクリックします。

署名なしトークンを使用したログイン

クラスタが、Kubernetes サービス アカウントの署名なしトークンを使用するように構成されている場合は、次の手順に沿って操作します。

  1. Google Cloud コンソールの GKE の [クラスタ] ページで、登録済みクラスタの横にある [アクション] をクリックし、[ログイン] をクリックします。

    GKE クラスタに移動

  2. [トークン] を選択し、[トークン] フィールドに KSA の署名なしトークンを入力します。

  3. [Login] をクリックします。

監査

Google Cloud コンソールを通じたアクセスは、クラスタの API サーバーに監査ログが記録されます。

次のステップ

以下の詳細を確認してください。