Halaman ini diterjemahkan oleh Cloud Translation API.

Login

Halaman ini membahas cara mengakses dan mengelola workload dan resource Anda dalam perlengkapan dengan air gap Google Distributed Cloud (GDC). Dokumen ini menjelaskan cara mengautentikasi, membuat file kubeconfig untuk server Management API dan cluster Kubernetes, serta mengelola tidak adanya aktivitas sesi. Memahami proses ini akan memastikan akses yang aman dan andal ke project dan workload Anda.

Akses beban kerja Anda melalui konsol GDC atau gdcloud CLI.

Untuk login ke konsol GDC atau cluster, ikuti langkah-langkah berikut:

Konsol

Buka URL berikut di tab browser baru untuk mengakses antarmuka pengguna (UI) appliance GDC yang terisolasi dari internet:

https://GDC_URL

Ganti GDC_URL dengan nama domain yang Anda gunakan untuk mengakses GDC yang disediakan oleh Operator Infrastruktur (IO). Saat membuka URL apa pun untuk pertama kalinya, GDC akan mengalihkan Anda ke halaman login penyedia identitas jika Operator Infrastruktur (IO) mengonfigurasi halaman tersebut.

Misalnya, halaman berikut ditampilkan setelah login ke Konsol untuk organisasi bernama `org-1: Konsol menampilkan layar selamat datang untuk project org-1.

CLI

Anda dapat login ke cluster mana pun yang izin aksesnya Anda miliki. Proses login CLI untuk semua cluster sama. Anda hanya boleh memberikan nama cluster dan file kubeconfig terkait, serta login secara terpisah ke setiap cluster.

Sebelum Anda login, pastikan Anda melakukan hal berikut:

Download biner gdcloud CLI dan instal di sistem Anda. Untuk mengetahui informasi selengkapnya, lihat Mendownload gdcloud CLI.
Siapkan dan lakukan inisialisasi konfigurasi default gdcloud CLI. Pastikan untuk menyetel URL organisasi yang benar, yang digunakan untuk mengambil endpoint konfigurasi login. Untuk mengetahui informasi selengkapnya, lihat penginstalan gdcloud CLI.
Instal plugin autentikasi gdcloud-k8s-auth-plugin. Untuk mengetahui informasi selengkapnya, lihat autentikasi gcloud CLI.

Untuk login ke cluster, selesaikan langkah-langkah berikut:

Lakukan autentikasi instance gdcloud CLI Anda untuk login. Ada dua cara untuk melakukan autentikasi:
- Login browser standar: Gunakan alur autentikasi ini saat login dari browser.
```
gdcloud auth login
```
- Login perangkat sekunder: Gunakan alur autentikasi ini jika perangkat utama Anda tidak memiliki browser. Alur ini memulai login di perangkat utama tanpa akses browser dan melanjutkan login dengan perangkat sekunder yang memiliki akses browser.
  1. Mulai login di perangkat utama Anda tanpa browser:
```
gdcloud auth login --no-browser
```
    Perintah di perangkat utama mencetak perintah gdcloud lain yang harus Anda jalankan di perangkat sekunder pada langkah c.
  2. Ulangi langkah 1 Login ke cluster untuk mendownload sertifikat di perangkat sekunder.
  3. Selesaikan login di perangkat sekunder dengan memasukkan perintah yang dicetak di perangkat utama pada langkah a.
Tindakan ini akan membuka browser untuk login ke penyedia identitas (IdP) yang dikonfigurasi. Berikan pengguna dan sandi yang Anda tetapkan selama penyiapan gdcloud CLI awal untuk login.

Catatan: Jika Anda melihat error x509: certificate signed by unknown authority, workstation Anda tidak memercayai sertifikat CA yang digunakan di GDC. Ikuti prosedur organisasi Anda untuk memeriksa penyimpanan sertifikasi tepercaya untuk workstation Anda.
Peringatan: Menggunakan --login-config-cert dengan sertifikat yang tidak terverifikasi membuat Anda rentan terhadap serangan man-in-the-middle. Pastikan Anda hanya mengandalkan penyimpanan tepercaya workstation Anda, bukan memercayai sertifikat CA dari sumber yang tidak dikenal.

Ekspor file identitas pengguna kubeconfig sebagai variabel:

export KUBECONFIG=/tmp/admin-kubeconfig-with-user-identity.yaml

Buat file kubeconfig dengan identitas pengguna Anda:

gdcloud clusters get-credentials CLUSTER_NAME

File kubeconfig dibuat dengan identitas pengguna Anda. File YAML berikut menunjukkan contoh:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: <REDACTED>
    server: https://10.200.0.32:443
  name: cluster-name
contexts:
- context:
    cluster: cluster-name
    user: cluster-name-anthos-default-user
  name: cluster-name-cluster-name-anthos-default-user
current-context: cluster-name-cluster-name-anthos-default-user
kind: Config
preferences: {}
users:
- name: cluster-name-anthos-default-user
  user:
    exec:
        apiVersion: client.authentication.k8s.io/v1
        args:
        - --audience=root-admin
        command: gdcloud-k8s-auth-plugin
        env: null
        installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use plugin
        interactiveMode: Never
        provideClusterInfo: false

Untuk memverifikasi bahwa Anda dapat mengakses cluster, login dengan file kubeconfig yang dibuat dengan identitas pengguna:
```
kubectl --kubeconfig /tmp/admin-kubeconfig-with-user-identity.yaml version
```

Logout

Untuk logout dari konsol GDC, lakukan hal berikut:

Konsol

Klik Logout di panel menu.

CLI

Logout dari CLI:

gdcloud auth revoke

Membuat file kubeconfig secara manual

Jika Anda mengelola resource dengan kubectl CLI dengan memanggil KRM API secara langsung, Anda harus membuat file kubeconfig untuk cluster yang menghosting resource, bergantung pada jenis resource yang Anda kelola. Buka dokumentasi resource untuk menentukan file kubeconfig yang Anda butuhkan.

Selesaikan penyiapan yang berlaku berdasarkan jenis resource Anda.

Resource server Management API

Selesaikan langkah-langkah berikut untuk membuat file kubeconfig Anda untuk server Management API:

Tetapkan variabel lingkungan MANAGEMENT_API_SERVER:
```
export MANAGEMENT_API_SERVER="root-admin"
```
Buat file kubeconfig server Management API, dan validasi kredensial:
```
export KUBECONFIG=${HOME}/${MANAGEMENT_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${MANAGEMENT_API_SERVER:?}
[[ $(kubectl config current-context) == *${MANAGEMENT_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"
```
Perintah rm ${KUBECONFIG:?} menghapus file kubeconfig yang ada di direktori beranda. Saat Anda membuat file kubeconfig baru, file tersebut akan menggantikan file yang ada. Jika Anda tidak ingin menimpa atau menghapus file yang ada, buat cadangannya di lokasi aman lain.

Resource cluster Kubernetes

Selesaikan langkah-langkah berikut untuk membuat file kubeconfig Anda untuk cluster Kubernetes bare metal:

Tetapkan variabel lingkungan KUBERNETES_CLUSTER:
```
export KUBERNETES_CLUSTER="root-infra"
```
Buat file kubeconfig cluster Kubernetes, dan validasi kredensial:
```
export KUBECONFIG=${HOME}/${KUBERNETES_CLUSTER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${KUBERNETES_CLUSTER:?}
[[ $(kubectl config current-context) == *${KUBERNETES_CLUSTER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"
```
Perintah rm ${KUBECONFIG:?} menghapus file kubeconfig yang ada di direktori beranda. Saat Anda membuat file kubeconfig baru, file tersebut akan menggantikan file yang ada. Jika Anda tidak ingin menimpa atau menghapus file yang ada, buat cadangannya di lokasi aman lain.

Logout karena tidak ada aktivitas sesi

Setelah tidak ada aktivitas selama lima belas menit atau lebih dalam sesi, konsol GDC dan gdcloud CLI akan mengeluarkan Anda. GDC menganggap tidak adanya aktivitas sesi sebagai periode selama sesi terbuka tanpa adanya engagement aktif dari Anda, seperti tidak ada pergerakan kursor atau keyboard. Sesi aktif berlangsung hingga dua belas jam dengan aktivitas pengguna.

Konsol

Jika tidak ada aktivitas sesi, konsol GDC akan membuat Anda logout. Dua menit sebelum konsol GDC mengeluarkan Anda karena tidak ada aktivitas, Anda akan menerima dialog yang memperingatkan Anda tentang logout:

UI Konsol yang menampilkan dialog dengan timer 99 detik sebelum mengeluarkan pengguna karena tidak aktif.

Setelah logout karena tidak ada aktivitas, Anda akan melihat layar berikut:

UI Konsol menampilkan layar login dengan banner yang berisi teks tentang logout sesi: 'Anda telah logout dari sistem karena sesi Anda tidak aktif terlalu lama. Login lagi atau hubungi administrator Anda untuk mendapatkan bantuan.'

Untuk login kembali ke konsol GDC, pilih penyedia identitas Anda dan tambahkan kredensial login Anda. Jika Anda menggunakan layanan, seperti dasbor pemantauan, dan konsol GDC mengeluarkan Anda karena tidak ada aktivitas, login kembali untuk mendapatkan akses.

CLI

Untuk sesi tidak aktif, gdcloud CLI akan membuat Anda logout. Setelah gdcloud CLI mengeluarkan Anda, dan Anda mencoba menjalankan perintah, Anda akan menerima error otorisasi:

Error: error when creating kube client: unable to create k8sclient: Unauthorized

Untuk login kembali ke gdcloud CLI, ikuti langkah-langkah CLI di Login.

kubectl

gdcloud CLI akan menghentikan masa berlaku file kubeconfig Anda setelah sesi tidak aktif. Jika Anda mencoba menjalankan perintah kubectl setelah tidak ada aktivitas, Anda akan menerima error otorisasi:

error: You must be logged in to the server (Unauthorized)

Untuk login kembali dan menggunakan file kubeconfig, ikuti langkah-langkah CLI di bagian Login. Untuk setiap waktu tunggu sesi, Anda harus membuat ulang file kubeconfig.

Aktivitas seperti login diekspor sebagai log audit. Untuk mengetahui informasi selengkapnya tentang cara melihat log audit, lihat Log audit.

Login Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Login

Konsol

CLI

Logout

Konsol

CLI

Membuat file kubeconfig secara manual

Resource server Management API

Resource cluster Kubernetes

Logout karena tidak ada aktivitas sesi

Konsol

CLI

kubectl

Memantau aktivitas login dan pengguna baru

Login