Produk yang dijelaskan dalam dokumentasi ini, GKE di AWS, kini dalam mode pemeliharaan dan akan dihentikan pada 17 Maret 2027.

Halaman ini diterjemahkan oleh Cloud Translation API.

Menghubungkan dan melakukan autentikasi ke cluster

Halaman ini menjelaskan cara terhubung dan melakukan autentikasi ke GKE di AWS.

Anda memiliki beberapa opsi untuk melakukan autentikasi ke cluster GKE. Semua opsi berikut mengasumsikan bahwa gateway Connect atau pengguna dapat terhubung ke bidang kontrol cluster Anda:

Identitas Google: Opsi autentikasi default yang disediakan oleh GKE di AWS tanpa konfigurasi tambahan.
Open ID Connect (OIDC) atau AWS IAM: Didukung oleh GKE Identity Service

Autentikasi identitas Google

Secara default, GKE Multi-Cloud API memberikan kebijakan kontrol akses berbasis peran (RBAC) Kubernetes kepada pengguna yang membuat cluster, yang memungkinkan pengguna melakukan autentikasi dengan cluster menggunakan identitas Google mereka. Pengguna yang membuat cluster dapat menambahkan pengguna lain sebagai pengguna admin dengan akses administratif penuh ke cluster.

Selain kebijakan izin RBAC yang memberikan peran clusterrole/cluster-admin kepada pengguna admin, GKE Multi-Cloud API mengonfigurasi kebijakan peniruan identitas yang mengizinkan agen Connect untuk mengirim permintaan ke server Kubernetes API atas nama pengguna admin.

Anda dapat melakukan autentikasi ke cluster dengan identitas Google Anda dengan cara berikut:

Menggunakan kubectl dengan identitas dari gcloud CLI

Anda dapat menggunakan Google Cloud CLI untuk membuat kubeconfig yang menggunakan identitas pengguna yang diautentikasi dengan gcloud auth login. Anda kemudian dapat menggunakan kubectl untuk mengakses cluster.

Untuk akses kubectl saat menggunakan gateway Connect, jika pengguna admin bukan pemilik project, setidaknya pengguna harus diberi peran berikut dalam project:

roles/gkehub.gatewayAdmin: Peran ini memungkinkan pengguna mengakses API gateway Connect untuk menggunakan kubectl guna mengelola cluster.
- Jika pengguna hanya memerlukan akses baca saja ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayReader sebagai gantinya.
- Jika pengguna memerlukan akses baca / tulis ke cluster yang terhubung, Anda dapat memberikan roles/gkehub.gatewayEditor.
roles/gkehub.viewer: Peran ini memungkinkan pengguna mengambil kubeconfigs cluster.

Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran GKE Hub dalam dokumentasi IAM.

Anda dapat mengetahui lebih lanjut cara memberikan izin dan peran IAM di bagian Memberikan, mengubah, dan mencabut akses ke resource.

Setelah pengguna admin memiliki peran yang diperlukan, ikuti langkah-langkah di Mengonfigurasi akses cluster untuk kubectl.

Menggunakan Google Cloud console

Pengguna admin yang bukan pemilik project dan ingin berinteraksi dengan cluster menggunakan konsol memerlukan peran berikut minimal:

roles/container.viewer. Peran ini memungkinkan pengguna melihat halaman Cluster GKE dan resource penampung lainnya di konsol Google Cloud . Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran Kubernetes Engine dalam dokumentasi IAM.
roles/gkehub.viewer. Peran ini memungkinkan pengguna melihat cluster di luar Google Cloud di konsol Google Cloud . Perhatikan bahwa ini adalah salah satu peran yang diperlukan untuk akses kubectl. Jika Anda sudah memberikan peran ini kepada pengguna, Anda tidak perlu memberikannya lagi. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat peran GKE Hub dalam dokumentasi IAM.

Anda dapat mengetahui lebih lanjut cara memberikan izin dan peran IAM di bagian Memberikan, mengubah, dan mencabut akses ke resource.

Untuk mengetahui informasi tentang cara login ke cluster dari konsol, lihat Login menggunakan Google Cloud identitas Anda.

Gunakan Google Grup

Untuk terhubung ke cluster sebagai anggota grup Google, lihat Menghubungkan grup Google ke GKE di AWS.

Melakukan autentikasi dengan OIDC

Untuk mengetahui informasi tentang cara mengautentikasi ke cluster Anda dengan OIDC, lihat Mengelola identitas dengan GKE Identity Service.

Melakukan autentikasi dengan AWS IAM

Untuk mengetahui informasi tentang cara mengautentikasi ke cluster Anda dengan AWS IAM, lihat Mengelola identitas dengan GKE Identity Service.

Mengautentikasi dengan identitas eksternal

Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster Anda dengan identitas eksternal, lihat Melakukan autentikasi dengan identitas eksternal.

Hubungkan ke bidang kontrol cluster Anda

Semua GKE di AWS dibuat di subnet pribadi. Semua infrastruktur cluster yang mendasarinya (misalnya, node dan endpoint load balancer) hanya disediakan dengan alamat IP RFC 1918 pribadi.

Untuk mengelola cluster secara langsung, Anda harus dapat terhubung ke load balancer bidang kontrol cluster Anda. Jika cluster Anda tidak dapat terhubung langsung ke bidang kontrol, tetapi dapat membuat koneksi keluar, Anda dapat terhubung ke bidang kontrol melalui gateway Connect, yaitu proxy terbalik yang dihosting Google ke cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.

Anda juga dapat terhubung melalui AWS Direct Connect.

Menghubungkan dan melakukan autentikasi ke cluster Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.