Cette page explique comment se connecter et s'authentifier auprès de GKE sur AWS.
Vous disposez de plusieurs options pour vous authentifier auprès des clusters GKE. Toutes les options suivantes supposent que la passerelle Connect ou l'utilisateur est en mesure de se connecter au plan de contrôle de votre cluster:
Identité Google : option d'authentification par défaut fournie par GKE sur AWS sans configuration supplémentaire.
Open ID Connect (OIDC) ou AWS IAM : compatibles avec GKE Identity Service
Authentification avec l'identité Google
Par défaut, l'API GKE Multi-Cloud accorde à l'utilisateur qui crée le cluster les stratégies de contrôle des accès basé sur les rôles (RBAC) Kubernetes qui lui permettent de s'authentifier auprès du cluster en utilisant leur identité Google. L'utilisateur qui a créé le cluster peut ajouter d'autres utilisateurs en tant qu'administrateurs avec un accès administrateur complet au cluster.
En plus de la stratégie d'autorisation RBAC qui accorde le rôle clusterrole/cluster-admin
aux administrateurs, l'API GKE Multi-Cloud configure une règle d'usurpation d'identité qui autorise l'Agent Connect à envoyer des requêtes au serveur d'API Kubernetes au nom d'un administrateur.
Vous pouvez vous authentifier auprès de votre cluster avec votre identité Google de différentes manières :
Utiliser kubectl avec l'identité depuis la gcloud CLI
Vous pouvez utiliser la Google Cloud CLI pour créer un kubeconfig
qui utilise l'identité de l'utilisateur authentifié avec gcloud auth login
. Vous pouvez ensuite utiliser kubectl
pour accéder au cluster.
Pour un accès kubectl
lors de l'utilisation de la passerelle Connect, si un administrateur n'est pas propriétaire du projet, il doit au minimum disposer des rôles suivants dans le projet:
roles/gkehub.gatewayAdmin
: ce rôle permet à un utilisateur d'accéder à l'API Connect Gateway pour gérer le cluster aveckubectl
.Si un utilisateur n'a besoin que d'un accès en lecture seule aux clusters connectés, vous pouvez accorder le rôle
roles/gkehub.gatewayReader
à la place.Si un utilisateur a besoin d'un accès en lecture/écriture aux clusters connectés, vous pouvez accorder le rôle
roles/gkehub.gatewayEditor
.
roles/gkehub.viewer
: ce rôle permet à un utilisateur de récupérer les fichierskubeconfigs
du cluster.
Pour en savoir plus sur les autorisations incluses dans ces rôles, consultez la page Rôles GKE Hub dans la documentation IAM.
Pour en savoir plus sur l'attribution d'autorisations et de rôles IAM, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Une fois qu'un administrateur dispose des rôles requis, suivez les étapes décrites dans la section Configurer l'accès au cluster pour kubectl.
Utiliser Google Cloud Console
Les administrateurs qui ne sont pas propriétaires de projet et qui souhaitent interagir avec des clusters à l'aide de la console doivent au minimum disposer des rôles suivants:
roles/container.viewer
. Ce rôle permet aux utilisateurs d'afficher la page "Clusters GKE" et les autres ressources de conteneur dans la console Google Cloud. Pour en savoir plus sur les autorisations incluses dans ce rôle, consultez la page Rôles Kubernetes Engine dans la documentation IAM.roles/gkehub.viewer
. Ce rôle permet aux utilisateurs d'afficher les clusters situés en dehors de Google Cloud dans la console Google Cloud. Notez qu'il s'agit de l'un des rôles requis pour accéder àkubectl
. Si vous avez déjà attribué ce rôle à un utilisateur, vous n'avez pas besoin de l'accorder à nouveau. Pour en savoir plus sur les autorisations incluses dans ce rôle, consultez la page Rôles GKE Hub dans la documentation IAM.
Pour en savoir plus sur l'attribution d'autorisations et de rôles IAM, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Pour en savoir plus sur la connexion au cluster depuis la console, consultez la page Se connecter à l'aide de votre identité Google Cloud.
Utiliser Google Groupes
Pour vous connecter à votre cluster en tant que membre d'un groupe Google, consultez la page Connecter des groupes Google à GKE sur AWS.
Authentification avec OIDC
Pour en savoir plus sur l'authentification auprès de votre cluster avec OIDC, consultez la page Gérer les identités avec GKE Identity Service.
S'authentifier avec AWS IAM
Pour en savoir plus sur l'authentification auprès de votre cluster avec AWS IAM, consultez la page Gérer les identités avec GKE Identity Service.
S'authentifier avec des identités externes
Pour en savoir plus sur l'authentification auprès de votre cluster avec des identités externes, consultez S'authentifier avec des identités externes.
Se connecter au plan de contrôle de votre cluster
Tous les services GKE sur AWS sont créés dans des sous-réseaux privés. Toute l'infrastructure de cluster sous-jacente (par exemple, les nœuds et les points de terminaison des équilibreurs de charge) n'est provisionnée qu'avec des adresses IP RFC 1918 privées.
Pour gérer directement votre cluster, vous devez pouvoir vous connecter à l'équilibreur de charge du plan de contrôle de votre cluster. Si votre cluster ne peut pas se connecter directement à votre plan de contrôle, mais peut établir des connexions sortantes, vous pouvez vous connecter au plan de contrôle via la passerelle Connect, un proxy inverse hébergé par Google. Pour en savoir plus, consultez la page Se connecter à des clusters enregistrés avec la passerelle Connect.
Vous pouvez également vous connecter via AWS Direct Connect.