Nesta página, explicamos como se conectar e se autenticar no GKE na AWS.
Você tem várias opções para autenticar-se em clusters do GKE. Todas as opções a seguir presumem que o gateway de conexão ou o usuário é capaz de se conectar ao plano de controle do cluster:
Identidade do Google: a opção de autenticação padrão fornecida pelo GKE na AWS sem configuração extra.
Open ID Connect (OIDC) ou AWS IAM: compatível com o GKE Identity Service
Autenticação de identidade do Google
Por padrão, o GKE Multi-cloud concede ao usuário que cria o cluster as políticas de controle de acesso baseado em papéis (RBAC) do Kubernetes que permitem ao usuário autenticar-se no cluster usando a respectiva identidade do Google. O usuário que criou o cluster pode adicionar outros usuários como usuários administradores com acesso administrativo total ao cluster.
Além da política de permissões do RBAC que concede o
papel clusterrole/cluster-admin
aos usuários administradores, A API GKE Multi-cloud configura uma
política contra falsificação
que autoriza o agente do Connect
a enviar solicitações ao servidor da API Kubernetes em nome de um usuário administrador.
É possível autenticar-se no cluster com a identidade do Google das seguintes maneiras:
Usar kubectl com identidade da CLI gcloud
É possível usar a Google Cloud CLI para criar um kubeconfig
que utiliza a
identidade do usuário autenticado com gcloud auth login
. Em seguida,
use kubectl
para acessar o cluster.
Para acesso kubectl
ao usar o gateway do Connect, se um usuário administrador não for um
proprietário do projeto, ele precisará ter, no mínimo, os seguintes papéis no
projeto:
roles/gkehub.gatewayAdmin
: este papel permite que um usuário acesse a API Connect Gateway para usarkubectl
para gerenciar o cluster.Se um usuário precisar apenas de acesso somente leitura aos clusters conectados, conceda a
roles/gkehub.gatewayReader
.Se um usuário precisar de acesso de leitura/gravação aos clusters conectados, conceda
roles/gkehub.gatewayEditor
.
roles/gkehub.viewer
: esse papel permite que um usuário recuperekubeconfigs
do cluster.
Para ver detalhes sobre as permissões incluídas nesses papéis, consulte Papéis do GKE Hub na documentação do IAM.
Saiba mais sobre como conceder permissões e papéis do IAM em Como conceder, alterar e revogar acesso a recursos.
Depois que um usuário administrador tiver os papéis necessários, siga as etapas em Configurar o acesso do cluster para o kubectl.
Usar o Console do Google Cloud
Os usuários administradores que não são proprietários de projetos e querem interagir com clusters usando o console precisam, no mínimo, das seguintes funções:
roles/container.viewer
. Com esse papel, os usuários podem ver a página "Clusters do GKE" e outros recursos do contêiner no console do Google Cloud. Para detalhes sobre as permissões incluídas nesse papel, consulte Papéis do Kubernetes Engine na documentação do IAM.roles/gkehub.viewer
. Com esse papel, os usuários podem ver os clusters fora do Google Cloud no console do Google Cloud. Esse é um dos papéis necessários para o acesso akubectl
. Se você já concedeu esse papel a um usuário, não é necessário fazer isso novamente. Para ver detalhes sobre as permissões incluídas nesse papel, consulte Papéis do GKE Hub na documentação do IAM.
Saiba mais sobre como conceder permissões e papéis do IAM em Como conceder, alterar e revogar acesso a recursos.
Para informações sobre como fazer login no cluster usando o console, consulte Fazer login usando sua identidade do Google Cloud.
Use o Grupos do Google
Para se conectar ao cluster como membro de um Grupo do Google, consulte Conectar Grupos do Google ao GKE na AWS.
Autenticar com OIDC
Para informações sobre a autenticação no seu cluster com o OIDC, consulte Gerenciar a identidade com o GKE Identity Service.
Autenticar com o IAM da AWS
Para informações sobre a autenticação no cluster com o IAM da AWS, consulte Gerenciar a identidade com o GKE Identity Service.
Autenticar com identidades externas
Para informações sobre como autenticar no cluster com identidades externas, consulte Autenticar com identidades externas.
Conectar-se ao plano de controle do seu cluster
Todos os GKE na AWS são criados em sub-redes particulares. Toda a infraestrutura de cluster subjacente (por exemplo, nós e balanceadores de carga) é provisionada apenas com endereços IP particulares RFC 1918.
Para gerenciar o cluster, você precisa se conectar ao balanceador de carga do plano de controle do cluster. Se o cluster não conseguir se conectar diretamente ao plano de controle, mas fizer conexões de saída, será possível se conectar ao plano de controle pelo gateway Connect, um proxy reverso hospedado pelo Google no cluster. Para mais informações, consulte Como se conectar a clusters registrados com o gateway do Connect.
Também é possível se conectar por meio do AWS Direct Connect.