Accede

En esta página, se explica cómo acceder a tus cargas de trabajo y recursos, y cómo administrarlos dentro del dispositivo aislado de Google Distributed Cloud (GDC). Describe cómo autenticarse, generar archivos kubeconfig para un servidor de la API de administración y un clúster de Kubernetes, y administrar la inactividad de la sesión. Comprender estos procesos garantiza un acceso seguro y confiable a tus proyectos y cargas de trabajo.

Accede a tus cargas de trabajo a través de la consola de GDC o la CLI de gdcloud.

Acceder

Para acceder a la consola de GDC o a un clúster, sigue estos pasos:

Console

Abre la siguiente URL en una nueva pestaña del navegador para acceder a la interfaz de usuario (IU) del dispositivo aislado de GDC:

https://GDC_URL

Reemplaza GDC_URL por el nombre de dominio que usas para acceder a GDC y que proporciona el operador de infraestructura (IO). Cuando abres cualquier URL por primera vez, GDC te redirecciona a la página de acceso de tu proveedor de identidad si el operador de infraestructura (IO) configuró la página.

Por ejemplo, la siguiente página se muestra después de acceder a la consola de una organización llamada "org-1": La consola muestra la pantalla de bienvenida para el proyecto org-1.

CLI

Puedes acceder a cualquier clúster al que tengas permiso para acceder. El proceso de acceso a la CLI es el mismo para todos los clústeres. Solo debes proporcionar el nombre del clúster y su archivo kubeconfig relacionado, y acceder a cada clúster por separado.

Antes de acceder, asegúrate de hacer lo siguiente:

  • Descarga el objeto binario de la CLI de gdcloud y, luego, instálalo en tu sistema. Para obtener más información, consulta Descarga la CLI de gdcloud.
  • Configura e inicializa la configuración predeterminada de la CLI de gdcloud. Asegúrate de configurar la URL de la organización correcta, que se usa para recuperar el extremo de configuración de acceso. Para obtener más información, consulta Instalación de la CLI de gcloud.
  • Instala el complemento de autenticación gdcloud-k8s-auth-plugin. Para obtener más información, consulta Autenticación de gcloud CLI.

Para acceder a un clúster, completa los siguientes pasos:

  1. Autentica tu instancia de gcloud CLI para acceder. Existen dos formas de autenticación:

    • Acceso estándar desde el navegador: Usa este flujo de autenticación cuando accedas desde un navegador.

      gdcloud auth login

    • Acceso en un dispositivo secundario: Usa este flujo de autenticación si tu dispositivo principal no tiene un navegador disponible. Este flujo inicia el acceso en el dispositivo principal sin acceso al navegador y continúa el acceso con el dispositivo secundario que tiene acceso al navegador.

      1. Inicia el acceso en tu dispositivo principal sin navegador:

        gdcloud auth login --no-browser

        El comando en el dispositivo principal imprime otro comando gdcloud que debes ejecutar en el dispositivo secundario en el paso c.

      2. Repite el paso 1 de Accede a un clúster para descargar el certificado en el dispositivo secundario.

      3. Para completar el acceso en el dispositivo secundario, ingresa el comando que se imprimió en el dispositivo principal en el paso a.

    Esta acción abre un navegador para acceder al proveedor de identidad (IdP) configurado. Proporciona el usuario y la contraseña que configuraste durante la configuración inicial de la CLI de gcloud para acceder.

  2. Exporta tu archivo de identidad del usuario kubeconfig como una variable:

    export KUBECONFIG=/tmp/admin-kubeconfig-with-user-identity.yaml

  3. Genera un archivo kubeconfig con la identidad del usuario:

    gdcloud clusters get-credentials CLUSTER_NAME

    Se genera un archivo kubeconfig con la identidad del usuario. En el siguiente archivo YAML, se muestra un ejemplo:

    apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: <REDACTED>
    server: https://10.200.0.32:443
  name: cluster-name
contexts:
- context:
    cluster: cluster-name
    user: cluster-name-anthos-default-user
  name: cluster-name-cluster-name-anthos-default-user
current-context: cluster-name-cluster-name-anthos-default-user
kind: Config
preferences: {}
users:
- name: cluster-name-anthos-default-user
  user:
    exec:
        apiVersion: client.authentication.k8s.io/v1
        args:
        - --audience=root-admin
        command: gdcloud-k8s-auth-plugin
        env: null
        installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use plugin
        interactiveMode: Never
        provideClusterInfo: false

  4. Para verificar que puedes acceder al clúster, accede con el archivo kubeconfig generado con una identidad de usuario:

    kubectl --kubeconfig /tmp/admin-kubeconfig-with-user-identity.yaml version

Salir

Para salir de la consola de GDC, haz lo siguiente:

Console

Haz clic en Cerrar sesión en la barra de menú.

CLI

Sal de la CLI:

gdcloud auth revoke

Genera manualmente el archivo kubeconfig

Si administras recursos con la CLI de kubectl llamando directamente a las APIs de KRM, debes generar el archivo kubeconfig para el clúster que aloja tu recurso, según el tipo de recurso que administres. Visita la documentación del recurso para determinar el archivo kubeconfig que necesitas.

Completa la configuración aplicable según tu tipo de recurso.

Recursos del servidor de la API de Management

Completa los siguientes pasos para generar tu archivo kubeconfig para el servidor de la API de Management:

  1. Establece la variable de entorno MANAGEMENT_API_SERVER:

    export MANAGEMENT_API_SERVER="root-admin"

  2. Genera el archivo kubeconfig del servidor de la API de Management y valida las credenciales:

    export KUBECONFIG=${HOME}/${MANAGEMENT_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${MANAGEMENT_API_SERVER:?}
[[ $(kubectl config current-context) == *${MANAGEMENT_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no quieres reemplazar o quitar el archivo existente, crea una copia de seguridad en otra ubicación segura.

Recursos del clúster de Kubernetes

Completa los siguientes pasos para generar tu archivo kubeconfig para el clúster de Kubernetes en equipos físicos:

  1. Establece la variable de entorno KUBERNETES_CLUSTER:

    export KUBERNETES_CLUSTER="root-infra"

  2. Genera el archivo kubeconfig del clúster de Kubernetes y valida las credenciales:

    export KUBECONFIG=${HOME}/${KUBERNETES_CLUSTER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${KUBERNETES_CLUSTER:?}
[[ $(kubectl config current-context) == *${KUBERNETES_CLUSTER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no quieres reemplazar o quitar el archivo existente, crea una copia de seguridad en otra ubicación segura.

Cierre de sesión por inactividad

Después de quince minutos o más de inactividad en una sesión, la consola de GDC y la CLI de gdcloud te desconectan. El GDC considera la inactividad de la sesión como un período durante una sesión abierta sin participación activa de tu parte, como la falta de movimiento del cursor o del teclado. Una sesión activa dura hasta doce horas con actividad del usuario.

Console

En caso de inactividad en la sesión, la consola de GDC cierra tu sesión. Dos minutos antes de que la consola de GDC cierre tu sesión por inactividad, recibirás un diálogo que te advertirá sobre el cierre de sesión:

IU de la consola que muestra un diálogo con un temporizador de 99 segundos antes de cerrar la sesión del usuario por inactividad.

Después de cerrar la sesión por inactividad, verás la siguiente pantalla:

La IU de la consola muestra la pantalla de acceso con un banner que contiene texto sobre el cierre de sesión: &quot;Se cerró tu sesión en el sistema porque estuvo inactiva durante demasiado tiempo. Vuelve a acceder o comunícate con el administrador para obtener ayuda&quot;.

Para volver a acceder a la consola de GDC, selecciona tu proveedor de identidad y agrega tus credenciales de acceso. Si usas un servicio, como el panel de supervisión, y la consola de GDC te desconecta por inactividad, vuelve a acceder para obtener acceso.

CLI

En caso de inactividad de la sesión, la CLI de gcloud cierra tu sesión. Después de que la CLI de gcloud cierre tu sesión y que intentes ejecutar un comando, recibirás un error de autorización:

Error: error when creating kube client: unable to create k8sclient: Unauthorized

Para volver a acceder a la CLI de gcloud, sigue los pasos de la CLI en Acceder.

kubectl

La CLI de gdcloud hace que tus archivos kubeconfig venzan después de un período de inactividad de la sesión. Si intentas ejecutar un comando kubectl después de un período de inactividad, recibirás un error de autorización:

error: You must be logged in to the server (Unauthorized)

Para volver a acceder y usar tu archivo kubeconfig, sigue los pasos de la CLI en Acceder. Para cada tiempo de espera de sesión, debes volver a generar tus archivos kubeconfig.

Supervisa las actividades de acceso y de usuarios nuevos

Las actividades, como el acceso, se exportan como registros de auditoría. Para obtener más información sobre cómo ver los registros de auditoría, consulta Registros de auditoría.