向 GKE 进行身份验证


本文档介绍如何以编程方式向 Google Kubernetes Engine 进行身份验证。 如何向 Google Kubernetes Engine 进行身份验证取决于您用于访问 API 的界面以及运行代码的环境。

借助 GKE API,您可以与运行 Kubernetes 的 Google Cloud 基础架构(例如 GKE 集群和节点)进行交互。

如需与 Pod 和 Service 等 Kubernetes 对象进行交互,您必须向 Kubernetes API 进行身份验证,该 API 独立于 GKE API,并由每个集群中的 Kubernetes API 服务器提供。如需了解相关说明,请参阅向 Kubernetes API 服务器进行身份验证

如需从 GKE 中运行的工作负载访问其他 Google Cloud 资源(例如 Cloud Storage 存储桶),请使用适用于 GKE 的工作负载身份联合

如需详细了解 Google Cloud 身份验证,请参阅身份验证概览

API 访问权限

GKE 支持程序化访问。您可以通过以下方式访问 API:

客户端库

GKE 客户端库提供以编程方式向 GKE 进行身份验证的高级语言支持。为了对 Google Cloud API 的调用进行身份验证,客户端库支持应用默认凭据 (ADC);这些库会在一组定义的位置查找凭据,并使用这些凭据对发送到 API 的请求进行身份验证。借助 ADC,您可以在各种环境(例如本地开发或生产环境)中为您的应用提供凭据,而无需修改应用代码。

Google Cloud CLI

使用 gcloud CLI 访问 GKE 时,您需要使用 Google 账号登录 gcloud CLI,该账号会提供 gcloud CLI 命令使用的凭据。

如果您的组织的安全政策阻止用户账号获取所需的权限,您可以使用服务账号模拟

如需了解详情,请参阅使用 gcloud CLI 时进行身份验证。如需详细了解如何将 gcloud CLI 与 GKE 搭配使用,请参阅 gcloud CLI 参考页面

REST

您可以使用 gcloud CLI 凭据或使用应用默认凭据GKEAPI 进行身份验证。如需详细了解 REST 请求身份验证,请参阅使用 REST 时进行身份验证。如需了解凭据类型,请参阅 gcloud CLI 凭据和 ADC 凭据

后续步骤