Halaman ini menjelaskan cara menghubungkan dan melakukan autentikasi ke GKE di AWS.
Anda memiliki beberapa opsi untuk melakukan autentikasi ke cluster GKE. Semua opsi berikut mengasumsikan bahwa Gateway koneksi atau pengguna dapat terhubung ke bidang kontrol cluster Anda:
Identitas Google: Opsi autentikasi default yang disediakan oleh GKE di AWS tanpa konfigurasi tambahan.
Open ID Connect (OIDC) atau AWS IAM: Didukung oleh GKE Identity Service
Autentikasi identitas Google
Secara default, GKE Multi-Cloud API memberi pengguna yang membuat cluster kebijakan kontrol akses berbasis peran (RBAC) Kubernetes, yang memungkinkan pengguna melakukan autentikasi dengan cluster menggunakan identitas Google mereka. Pengguna yang membuat cluster dapat menambahkan pengguna lain sebagai pengguna admin dengan akses administratif penuh ke cluster.
Selain kebijakan izin RBAC yang memberikan peran clusterrole/cluster-admin
kepada pengguna admin, GKE Multi-Cloud API mengonfigurasi kebijakan peniruan identitas yang mengizinkan Connect agen untuk mengirim permintaan ke server Kubernetes API atas nama pengguna admin.
Anda dapat melakukan autentikasi ke cluster menggunakan identitas Google dengan cara berikut:
Menggunakan kubectl dengan identitas dari gcloud CLI
Anda dapat menggunakan Google Cloud CLI untuk membuat kubeconfig
yang menggunakan identitas pengguna yang diautentikasi dengan gcloud auth login
. Selanjutnya, Anda dapat menggunakan kubectl
untuk mengakses cluster.
Untuk akses kubectl
saat menggunakan gateway Connect, jika pengguna admin bukan
pemilik project, minimal, pengguna harus diberi peran berikut dalam
project:
roles/gkehub.gatewayAdmin
: Peran ini memungkinkan pengguna mengakses Connect gateway API agar dapat menggunakankubectl
untuk mengelola cluster.Jika pengguna hanya memerlukan akses hanya baca ke cluster yang terhubung, Anda dapat memberikan
roles/gkehub.gatewayReader
sebagai gantinya.Jika pengguna memerlukan akses baca / tulis ke cluster yang terhubung, Anda dapat memberikan
roles/gkehub.gatewayEditor
.
roles/gkehub.viewer
: Peran ini memungkinkan pengguna mengambil clusterkubeconfigs
.
Untuk mengetahui detail tentang izin yang tercakup dalam peran ini, baca peran GKE Hub dalam dokumentasi IAM.
Anda dapat mempelajari lebih lanjut cara memberikan izin dan peran IAM dalam artikel Memberikan, mengubah, dan mencabut akses ke resource.
Setelah pengguna admin memiliki peran yang diperlukan, ikuti langkah-langkah dalam Mengonfigurasi akses cluster untuk kubectl.
Gunakan Konsol Google Cloud
Pengguna admin yang bukan pemilik project dan ingin berinteraksi dengan cluster menggunakan konsol memerlukan setidaknya peran berikut:
roles/container.viewer
. Peran ini memungkinkan pengguna melihat halaman Cluster GKE dan resource container lainnya di Konsol Google Cloud. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat peran Kubernetes Engine dalam dokumentasi IAM.roles/gkehub.viewer
. Peran ini memungkinkan pengguna melihat cluster di luar Google Cloud di Konsol Google Cloud. Perhatikan bahwa ini adalah salah satu peran yang diperlukan untuk akseskubectl
. Jika sudah memberikan peran ini kepada pengguna, Anda tidak perlu memberikannya lagi. Untuk mengetahui detail izin yang disertakan dalam peran ini, lihat peran GKE Hub dalam dokumentasi IAM.
Anda dapat mempelajari lebih lanjut cara memberikan izin dan peran IAM dalam artikel Memberikan, mengubah, dan mencabut akses ke resource.
Untuk mengetahui informasi tentang cara login ke cluster dari konsol, lihat Login menggunakan Google Cloud Identity.
Gunakan Google Grup
Untuk terhubung ke cluster Anda sebagai anggota grup Google, lihat Menghubungkan grup Google ke GKE di AWS.
Melakukan autentikasi dengan OIDC
Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster dengan OIDC, lihat Mengelola identitas dengan GKE Identity Service.
Melakukan autentikasi dengan IAM AWS
Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster dengan IAM AWS, lihat Mengelola identitas dengan GKE Identity Service.
Mengautentikasi dengan identitas eksternal
Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster dengan identitas eksternal, lihat Mengautentikasi dengan identitas eksternal.
Hubungkan ke bidang kontrol cluster Anda
Semua GKE di AWS dibuat di subnet pribadi. Semua infrastruktur cluster yang mendasarinya (misalnya, node dan endpoint load balancer) hanya disediakan dengan alamat IP RFC 1918 pribadi.
Untuk mengelola cluster secara langsung, Anda harus dapat terhubung ke load balancer bidang kontrol cluster Anda. Jika cluster tidak dapat terhubung langsung ke bidang kontrol, tetapi dapat melakukan koneksi keluar, Anda dapat terhubung ke bidang kontrol melalui gateway Connect, sebuah proxy terbalik yang dihosting Google ke cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.
Anda juga dapat terhubung melalui AWS Direct Connect.