S'authentifier auprès de GKE


Ce document explique comment s'authentifier automatiquement sur Google Kubernetes Engine. La façon dont vous vous authentifiez auprès de Google Kubernetes Engine dépend de l'interface que vous utilisez pour accéder à l'API et de l'environnement dans lequel votre code s'exécute.

L'API GKE vous permet d'interagir avec l'infrastructure Google Cloud qui exécute Kubernetes, comme vos clusters et nœuds GKE.

Pour interagir avec les objets Kubernetes comme les pods et les services, vous devez vous authentifier auprès de l'API Kubernetes, qui est distincte de l'API GKE et est desservie par le serveur d'API Kubernetes dans chaque cluster. Pour obtenir des instructions, consultez la page S'authentifier auprès du serveur d'API Kubernetes.

Pour accéder à d'autres ressources Google Cloud telles que des buckets Cloud Storage à partir de charges de travail exécutées dans GKE, utilisez la fédération d'identité de charge de travail pour GKE.

Pour en savoir plus sur l'authentification Google Cloud, consultez la page Présentation de l'authentification.

Accès API

GKE est compatible avec l'accès automatisé. Vous pouvez accéder à l'API des manières suivantes :

Bibliothèques clientes

Les bibliothèques clientes GKE fournissent une compatibilité de haut niveau avec le langage pour l'authentification par programmation dans GKE. Pour authentifier les appels aux API Google Cloud, les bibliothèques clientes sont compatibles avec les ADC (Identifiants par défaut de l'application). Les bibliothèques recherchent des identifiants dans un ensemble d'emplacements définis et les utilisent pour authentifier les requêtes adressées à l'API. Le service ADC vous permet de mettre des identifiants à disposition de votre application dans divers environnements, tels que l'environnement de développement local ou l'environnement de production, sans avoir à modifier le code de votre application.

Google Cloud CLI

Lorsque vous utilisez gcloud CLI pour accéder à GKE, connectez-vous à gcloud CLI avec un compte utilisateur, qui fournit les identifiants utilisés par les commandes gcloud CLI.

Si les règles de sécurité de votre organisation empêchent les comptes utilisateur de disposer des autorisations requises, vous pouvez utiliser l'emprunt d'identité du compte de service.

Pour en savoir plus, consultez la section S'authentifier pour utiliser gcloud CLI. Pour en savoir plus sur l'utilisation de la gcloud CLI avec GKE, consultez la documentation de référence de la gcloud CLI.

REST

Vous pouvez vous authentifier auprès de l'API GKE à l'aide de vos identifiants gcloud CLI ou en utilisant les Identifiants par défaut de l'application. Pour en savoir plus sur l'authentification pour les requêtes REST, consultez la page S'authentifier pour utiliser REST. Pour en savoir plus sur les types d'identifiants, consultez la section Identifiants gcloud CLI et identifiants ADC.

Étapes suivantes