Ambiti di accesso in GKE

Questa pagina descrive gli ambiti di accesso predefiniti concessi ai nodi dei cluster di Google Kubernetes Engine (GKE).

Cosa sono gli ambiti di accesso?

Gli ambiti di accesso sono il metodo legacy per concedere le autorizzazioni per i nodi e per i carichi di lavoro in esecuzione sui nodi, se questi utilizzano le credenziali predefinite dell'applicazione (ADC). Gli ambiti di accesso definiscono gli ambiti OAuth utilizzati nelle chiamate API dalle librerie client o dall'interfaccia a riga di comando gcloud.

Ti consigliamo di non specificare i tuoi ambiti di accesso. Devi invece utilizzare autorizzazioni IAM o controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes per concedere l'accesso a account di servizio IAM o Kubernetes specifici.

Ambiti di accesso predefiniti

Quando crei un nuovo cluster GKE, Google Cloud assegna un insieme predefinito di ambiti di accesso ai nodi in base all'account di servizio utilizzato nodi. Questi ambiti di accesso attivano funzionalità specifiche per GKE. Puoi anche impostare manualmente gli ambiti di accesso utilizzando il flag --scopes quando crei cluster standard. Cluster Autopilot o pool di nodi. Tu non può modificare gli ambiti di accesso sui pool di nodi esistenti. Crea invece un nuovo pool di nodi con i nuovi ambiti ed eseguire la migrazione dei carichi di lavoro in quel pool di nodi.

Le sezioni seguenti descrivono gli ambiti di accesso predefiniti che GKE aggiunge ai nodi in base al fatto che tu specifichi un account di servizio personalizzato e se specifichi manualmente gli ambiti di accesso.

Cluster Autopilot

Service account Hai specificato manualmente gli ambiti di accesso? Ambiti di accesso aggiunti da GKE
Account di servizio predefinito Compute Engine No
  • https://www.googleapis.com/auth/devstorage.read_only
  • https://www.googleapis.com/auth/service.management.readonly
  • https://www.googleapis.com/auth/servicecontrol
  • https://www.googleapis.com/auth/trace.append
  • https://www.googleapis.com/auth/logging.write: aggiunto se Cloud Logging è abilitato
  • https://www.googleapis.com/auth/monitoring: aggiunto se Cloud Monitoring è abilitato
Ambiti specificati manualmente
Service account personalizzato No https://www.googleapis.com/auth/cloud-platform
Ambiti specificati manualmente

Cluster standard

Service account Ambiti di accesso specificati manualmente? Ambiti di accesso GKE
Account di servizio predefinito Compute Engine No
  • https://www.googleapis.com/auth/devstorage.read_only
  • https://www.googleapis.com/auth/service.management.readonly
  • https://www.googleapis.com/auth/servicecontrol
  • https://www.googleapis.com/auth/trace.append
  • https://www.googleapis.com/auth/logging.write: aggiunto se Cloud Logging è abilitato
  • https://www.googleapis.com/auth/monitoring: aggiunto se Cloud Monitoring è abilitato
  • Ambiti specificati manualmente
  • https://www.googleapis.com/auth/monitoring.write
  • https://www.googleapis.com/auth/logging.write: aggiunto se Cloud Logging è abilitato
  • https://www.googleapis.com/auth/monitoring: aggiunto se Cloud Monitoring è abilitato
Service account personalizzato No
  • https://www.googleapis.com/auth/userinfo.email
  • https://www.googleapis.com/auth/cloud-platform
  • Ambiti specificati manualmente
  • https://www.googleapis.com/auth/monitoring.write
  • https://www.googleapis.com/auth/logging.write: aggiunto se Cloud Logging è abilitato
  • https://www.googleapis.com/auth/monitoring: aggiunto se Cloud Monitoring è abilitato

Configurazione di un account di servizio personalizzato per i carichi di lavoro

IAM è il sistema di controllo dell'accesso per concedere ruoli autorizzati a utenti e account di servizio all'interno del progetto Google Cloud. Un account di servizio è un Account Google speciale che esegue attività per tuo conto, ad esempio il deployment di applicazioni. Utilizza IAM per creare un account di servizio, quindi utilizza le associazioni dei criteri IAM per proteggere l'account.

Se i tuoi carichi di lavoro richiedono l'accesso a Compute Engine, concedi il servizio account il ruolo Amministratore Compute Engine. Se i tuoi carichi di lavoro devono estrarre immagini private da Artifact Registry, consulta Configurare il controllo dell'accesso per i repository Artifact Registry.

Crea un account di servizio

Per creare un account di servizio personalizzato denominato kubernetes-engine-node-sa, esegui i seguenti comandi:

export NODE_SA_NAME=kubernetes-engine-node-sa
gcloud iam service-accounts create $NODE_SA_NAME \
  --display-name "GKE Node Service Account"
export NODE_SA_EMAIL=`gcloud iam service-accounts list --format='value(email)' \
  --filter='displayName:GKE Node Service Account'`

Concedi ruoli minimi

Per configurare l'account di servizio con i ruoli e i ruoli minima necessari necessarie per il funzionamento del nodo GKE, esegui questo dove $PROJECT è il tuo ID progetto:

export PROJECT=`gcloud config get-value project`
gcloud projects add-iam-policy-binding $PROJECT \
  --member serviceAccount:$NODE_SA_EMAIL \
  --role roles/monitoring.metricWriter
gcloud projects add-iam-policy-binding $PROJECT \
  --member serviceAccount:$NODE_SA_EMAIL \
  --role roles/monitoring.viewer
gcloud projects add-iam-policy-binding $PROJECT \
  --member serviceAccount:$NODE_SA_EMAIL \
  --role roles/logging.logWriter

Concedi altri ruoli

Per concedere all'account di servizio il ruolo Amministratore Compute Engine, esegui il seguente comando:

gcloud projects add-iam-policy-binding $PROJECT \
  --member serviceAccount:$NODE_SA_EMAIL \
  --role roles/compute.admin

Per scoprire come concedere agli account di servizio l'accesso alle immagini private archiviate in Artifact Registry, consulta Concedere l'accesso ai cluster Google Kubernetes Engine.

Creazione di un cluster o di un pool di nodi con l'account di servizio personalizzato

Per creare un cluster che utilizza l'account di servizio personalizzato, esegui questo comando :

gcloud container clusters create --service-account=$NODE_SA_EMAIL

Per creare un pool di nodi in un cluster esistente:

gcloud container node-pools create --service-account=$NODE_SA_EMAIL