Se usó la API de Cloud Translation para traducir esta página.

Verifica los inicios de sesión

Verifica que puedas acceder con la consola de GDC o la CLI de gdcloud.

Acceder

Para acceder a Distributed Cloud, sigue estos pasos:

Console

Abre la siguiente URL en una nueva pestaña del navegador para acceder a la IU de Distributed Cloud:

https://GDC_URL

Reemplaza GDC_URL por el nombre de dominio del operador de infraestructura (IO) que configuró el servicio del sistema de nombres de dominio (DNS).

Cuando abres cualquier URL por primera vez, la página te redirecciona a la página de acceso de tu proveedor de identidad. Para acceder, usa el nombre de usuario y la contraseña que creaste anteriormente.

CLI

Cuando accedes a la CLI de gcloud, usas el comando gdcloud auth login para autenticar una principal en la CLI de gcloud. La CLI de gcloud usa ese principal para la autenticación y autorización a fin de administrar recursos y servicios de Google Cloud .

Antes de acceder, asegúrate de hacer lo siguiente:

Descarga el objeto binario de la CLI de gdcloud y, luego, instálalo en tu sistema. Para obtener más información, consulta Descarga la CLI de gdcloud.
Configura e inicializa la configuración predeterminada de la CLI de gdcloud. Asegúrate de establecer la URL de organización correcta, que se usa para recuperar el extremo de configuración de acceso. Para obtener más información, consulta Instalación de la CLI de gcloud.
Instala el complemento de autenticación gdcloud-k8s-auth-plugin. Para obtener más información, consulta Autenticación de gcloud CLI.

Para acceder a un clúster, completa los siguientes pasos:

Exporta la ruta de acceso en la que deseas almacenar el archivo kubeconfig del clúster:
```
  export KUBECONFIG=CLUSTER_KUBECONFIG
```
Reemplaza CLUSTER_KUBECONFIG por la ruta de acceso al directorio en el que se almacenará el archivo kubeconfig.
Autentica tu instancia de gcloud CLI para acceder. Existen dos formas de autenticación:
- Acceso estándar desde el navegador: Usa este flujo de autenticación cuando accedas desde un navegador.
```
  gdcloud auth login
```
- Acceso en un dispositivo secundario: Usa este flujo de autenticación si tu dispositivo principal no tiene un navegador disponible. Este flujo inicia el acceso en el dispositivo principal sin acceso al navegador y continúa el acceso con el dispositivo secundario que tiene acceso al navegador.
  
  Inicia el acceso en tu dispositivo principal sin navegador:
```
  gdcloud auth login --no-browser
```
  La variable de entorno KUBECONFIG se actualiza con los archivos kubeconfig de todos los servidores de API y clústeres de la organización. Si la variable KUBECONFIG no está configurada, la CLI de kubectl usa el archivo kubeconfig predeterminado almacenado en $HOME/.kube/config.
  
  Para omitir la edición de los archivos kubeconfig, agrega la marca --skip-kubeconfig-update a tu comando. Por ejemplo:
```
  gdcloud auth login --no-browser --skip-kubeconfig-update
```
  Copia el resultado del comando de la CLI de gdcloud que se imprimió y ejecútalo en una máquina con acceso al navegador.
Sigue las instrucciones de la página web para completar el proceso de acceso.

Cuando se completa el acceso correctamente, el navegador muestra el mensaje Authentication successful. Cierra esta ventana.
Sigue las instrucciones que aparecen en la terminal. Si el acceso se realiza correctamente, la terminal mostrará el mensaje: You are now logged in.

Nota: Si ves el error x509: certificate signed by unknown authority, significa que tu estación de trabajo no confía en el certificado de CA que se usa en GDC. Sigue el procedimiento de tu organización para verificar el almacén de certificados de confianza de tu estación de trabajo.
Advertencia: Usar --login-config-cert con un certificado no verificado te hace vulnerable a los ataques de intermediarios. Asegúrate de confiar solo en el almacén de confianza de tu estación de trabajo en lugar de confiar en un certificado de CA de fuentes desconocidas.
Exporta tu archivo kubeconfig de identidad del usuario como una variable:
```
  export KUBECONFIG=/tmp/admin-kubeconfig-with-user-identity.yaml
```

Genera un archivo kubeconfig con tu identidad de usuario:

  gdcloud clusters get-credentials CLUSTER_NAME --zone ZONE

Reemplaza ZONE por el nombre de la zona.

Se genera un archivo kubeconfig con tu identidad de usuario. En el siguiente archivo YAML, se muestra un ejemplo:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: <REDACTED>
    server: https://10.200.0.32:443
  name: cluster-name
contexts:
- context:
    cluster: cluster-name
    user: cluster-name-anthos-default-user
  name: cluster-name-cluster-name-anthos-default-user
current-context: cluster-name-cluster-name-anthos-default-user
kind: Config
preferences: {}
users:
- name: cluster-name-anthos-default-user
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1
      args:
      - --audience=root-admin
      command: gdcloud-k8s-auth-plugin
      env: null
      installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use plugin
      interactiveMode: Never
      provideClusterInfo: false

Para verificar que puedes acceder al clúster, accede con el archivo kubeconfig generado con una identidad de usuario:
```
kubectl --kubeconfig /tmp/admin-kubeconfig-with-user-identity.yaml version
```

Salir

Para verificar el cierre de sesión, haz lo siguiente:

Console

Para salir de la IU web, haz clic en Salir en la barra de menú.

CLI

Sal de la CLI:

gdcloud auth revoke

Genera manualmente el archivo kubeconfig

Si administras recursos con la CLI de kubectl llamando directamente a las APIs de KRM, debes generar el archivo kubeconfig para el clúster que aloja tu recurso, según el tipo de recurso que administres. Los clústeres y servidores disponibles son los siguientes:

Clúster	Nombre
Clúster de administrador raíz	root-admin
Servidor raíz de la API global	global-api
Clúster de administrador de la organización (organización de la versión 1)	`ORG_NAME`-admin
Clúster del sistema (organización de la versión 1)	`ORG_NAME`-system
Clúster de infraestructura de la organización (organización v2)	`ORG_NAME`-infra
Servidor de la API de Management (organización de la versión 2)	`ORG_NAME`-admin
Servidor de la API global del administrador de la organización	global-api
Clúster de usuario	`CLUSTER_NAME`

También debes conocer la configuración de tu universo de GDC para determinar las zonas en las que deseas implementar tus recursos zonales o el servidor de la API global para los recursos globales. Para obtener más información, consulta Servidores de API globales y zonales.

Determina si el recurso que manipulas es global o zonal. Si no tienes certeza, visita la documentación específica del recurso para obtener ayuda.

Completa la configuración aplicable según tu tipo de recurso.

Recursos zonales

Completa los siguientes pasos para generar tu archivo kubeconfig para el clúster zonal:

Para ver todas las zonas disponibles, haz lo siguiente:
```
gdcloud zones list
```
Anota el nombre de la zona que aloja tu recurso personalizado.
Establece la variable de entorno ZONE en la zona que aloja tus recursos zonales:
```
export ZONE="ZONE"
```
Reemplaza ZONE por el nombre de la zona.
Establece la variable de entorno CLUSTER:
```
export CLUSTER="CLUSTER_NAME"
```
Reemplaza CLUSTER_NAME por el nombre del clúster que aloja tu recurso.
Genera el archivo kubeconfig del clúster para la zona objetivo y valida las credenciales:
```
export KUBECONFIG=${HOME}/${CLUSTER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${CLUSTER:?} --zone ${ZONE:?}
[[ $(kubectl config current-context) == *${CLUSTER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"
```
El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Incluso sin quitar de forma explícita el archivo kubeconfig existente, el archivo kubeconfig se reemplaza por el archivo kubeconfig recién generado. Si no quieres reemplazar ni quitar el archivo existente, crea una copia de seguridad en otra ubicación segura.

Recursos globales

Completa los siguientes pasos para generar tu archivo kubeconfig para el servidor de API global:

Establece la variable de entorno GLOBAL_API_SERVER:
```
export GLOBAL_API_SERVER="global-api"
```
Genera el archivo kubeconfig del servidor de la API global y valida las credenciales:
```
export KUBECONFIG=${HOME}/${GLOBAL_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${GLOBAL_API_SERVER:?}
[[ $(kubectl config current-context) == *${GLOBAL_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"
```
El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Incluso sin quitar de forma explícita el archivo kubeconfig existente, el archivo kubeconfig se reemplaza por el archivo kubeconfig recién generado. Si no quieres reemplazar ni quitar el archivo existente, crea una copia de seguridad en otra ubicación segura.

Cierre de sesión por inactividad

Después de quince minutos o más de inactividad en una sesión, la consola de GDC y la CLI de gdcloud te desconectan. El GDC considera la inactividad de la sesión como un período durante una sesión abierta sin participación activa de tu parte, como la falta de movimiento del cursor o del teclado. Una sesión activa dura hasta doce horas con actividad del usuario.

Console

En caso de inactividad en la sesión, la consola de GDC cierra tu sesión. Dos minutos antes de que la consola de GDC cierre tu sesión por inactividad, recibirás un diálogo que te advertirá sobre el cierre de sesión:

IU de la consola que muestra un diálogo con un temporizador de 99 segundos antes de cerrar la sesión del usuario por inactividad.

Después de cerrar la sesión por inactividad, verás la siguiente pantalla:

La IU de la consola muestra la pantalla de acceso con un banner que contiene texto sobre el cierre de sesión: "Se cerró tu sesión en el sistema porque estuvo inactiva durante demasiado tiempo. Vuelve a acceder o comunícate con el administrador para obtener ayuda".

Para volver a acceder a la consola de GDC, selecciona tu proveedor de identidad y agrega tus credenciales de acceso. Si usas un servicio, como el panel de supervisión, y la consola de GDC te desconecta por inactividad, vuelve a acceder para obtener acceso.

CLI

En caso de inactividad de la sesión, la CLI de gcloud te desconecta. Después de que la CLI de gcloud cierre tu sesión y que intentes ejecutar un comando, recibirás un error de autorización:

Error: error when creating kube client: unable to create k8sclient: Unauthorized

Para volver a acceder a la CLI de gcloud, sigue los pasos de la CLI en Accede.

kubectl

La CLI de gdcloud hace que tus archivos kubeconfig venzan después de un período de inactividad de la sesión. Si intentas ejecutar un comando kubectl después de un período de inactividad, recibirás un error de autorización:

error: You must be logged in to the server (Unauthorized)

Para volver a acceder y usar tus archivos kubeconfig, sigue los pasos de la CLI en Acceder. Para cada tiempo de espera de sesión, debes volver a generar tus archivos kubeconfig.