Esta documentación es para la versión actual de GKE en AWS, publicada en noviembre de 2021. Consulta las notas de la versión para obtener más información.

Conéctate a tu clúster y autentícate en él

En esta página, se explica cómo conectarse y autenticarse a GKE en AWS.

Tienes varias opciones para autenticarte en los clústeres de GKE. En todas las opciones siguientes, se supone que la puerta de enlace de Connect o el usuario pueden conectarse al plano de control del clúster:

Identidad de Google: Es la opción de autenticación predeterminada que proporciona GKE en AWS sin configuración adicional.
OpenID Connect (OIDC) o IAM de AWS: Compatible con Servicio de Identidad de GKE

Autenticación de identidad de Google

De forma predeterminada, la API de GKE Multi-cloud otorga al usuario que crea el clúster las políticas de control de acceso basado en roles (RBAC) de Kubernetes que permiten al usuario autenticarse con el clúster con su identidad de Google. El usuario que creó el clúster puede agregar a otros usuarios como usuarios administradores con acceso administrativo completo al clúster.

Además de la política de permisos RBAC que otorga el rol clusterrole/cluster-admin a los usuarios administradores, la API de GKE Multi-cloud configura una política de suplantación de identidad que autoriza al agente de Connect a enviar solicitudes al servidor de la API de Kubernetes en nombre de un usuario administrador.

Puedes autenticarte en el clúster con tu identidad de Google de las siguientes maneras:

Usa kubectl con identidad desde la CLI de gcloud

Puedes usar Google Cloud CLI para crear un kubeconfig que use la identidad del usuario autenticado con gcloud auth login. Luego, puedes usar kubectl para acceder al clúster.

Para el acceso kubectl cuando se usa la puerta de enlace de Connect, si un usuario administrador no es propietario del proyecto, como mínimo, se le deben otorgar los siguientes roles en el proyecto:

roles/gkehub.gatewayAdmin: Este rol permite que un usuario acceda a la API de la puerta de enlace de Connect para usar kubectl a fin de administrar el clúster.
- Si un usuario solo necesita acceso de solo lectura a clústeres conectados, puedes otorgar roles/gkehub.gatewayReader en su lugar.
- Si un usuario necesita acceso de lectura/escritura a clústeres conectados, puedes otorgar roles/gkehub.gatewayEditor.
roles/gkehub.viewer: Este rol permite que un usuario recupere kubeconfigs del clúster.

Para obtener más información sobre los permisos incluidos en estas funciones, consulta funciones de GKE Hub en la documentación de IAM.

Para obtener más información sobre cómo otorgar permisos y roles de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.

Después de que un usuario administrador tenga los roles necesarios, sigue los pasos en Configura el acceso al clúster para kubectl.

Usa la consola de Google Cloud

Los usuarios administradores que no son propietarios de proyectos y desean interactuar con los clústeres mediante la consola necesitan los siguientes roles como mínimo:

roles/container.viewer. Este rol permite que los usuarios vean la página de clústeres de GKE y otros recursos de contenedores en la consola de Google Cloud. Para obtener más información sobre los permisos incluidos en este rol, consulta Roles de Kubernetes Engine en la documentación de IAM.
roles/gkehub.viewer Este rol permite que los usuarios vean clústeres fuera de Google Cloud en la consola de Google Cloud. Ten en cuenta que este es uno de los roles necesarios para acceder a kubectl. Si ya otorgaste este rol a un usuario, no necesitas volver a otorgarlo. Para obtener detalles sobre los permisos incluidos en este rol, consulta Roles de GKE Hub en la documentación de IAM.

Para obtener más información sobre cómo otorgar permisos y roles de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.

Para obtener información sobre el acceso al clúster desde la consola, consulta Accede con tu identidad de Google Cloud.

Usa los Grupos de Google

Para conectarte a tu clúster como miembro de un Grupo de Google, consulta Conecta grupos de Google a GKE en AWS.

Autenticar con OIDC

Para obtener información sobre la autenticación en tu clúster con OIDC, consulta Administra la identidad con el Servicio de Identidad GKE.

Autentica con la IAM de AWS

Para obtener información sobre la autenticación en tu clúster con la IAM de AWS, consulta Administra la identidad con el Servicio de Identidad de GKE.

Autentica con las identidades externas

Para obtener información sobre la autenticación en tu clúster con identidades externas, consulta Autentica con identidades externas.

Conéctate al plano de control de tu clúster

Todos los GKE en AWS se crean en subredes privadas. Toda la infraestructura subyacente del clúster (por ejemplo, nodos y extremos de los balanceadores de cargas) se aprovisiona solo con direcciones IP RFC 1918 privadas.

Para administrar tu clúster de manera directa, debes poder conectarte al balanceador de cargas del plano de control de tu clúster. Si el clúster no se puede conectar directamente al plano de control, pero puede realizar conexiones salientes, puedes conectarte al plano de control a través de la puerta de enlace de Connect, un proxy inverso alojado en Google en tu clúster. Para obtener más información, consulta Conéctate a clústeres registrados con la puerta de enlace de Connect.

También puedes conectarte mediante AWS Direct Connect.