Questo documento descrive come connettersi a GKE su AWS come membro di un gruppo Google.
Utilizzare Google Gruppi per concedere l'accesso ai cluster è più efficiente che creare autorizzazioni separate per i singoli utenti. Ad esempio, supponiamo che tu voglia aggiungere 50 utenti al gruppo di amministratori del cluster, 75 utenti a un gruppo Editor e 100 utenti a un gruppo di lettori. Per consentire a tutti questi utenti di connettersi al tuo cluster, è necessario creare regole RBAC nel file manifest di Kubernetes per 225 utenti. Se abiliti l'accesso al tuo cluster con Google Gruppi, puoi risparmiare tempo perché devi creare solo regole RBAC per tre gruppi Google.
Prima di iniziare
Per connetterti al cluster come membro di un gruppo Google, devi soddisfare i seguenti prerequisiti:
Assicurati di avere la versione più recente di Google Cloud CLI. Per informazioni sull'aggiornamento di gcloud CLI, consulta
gcloud components update
.Utilizza GKE su AWS versione 1.25 o successive, necessario per l'accesso a
kubectl
mediante Connect Gateway.
Connettiti al cluster con Google Gruppi
Per autorizzare i gruppi Google a connettersi a GKE su AWS, segui questi passaggi:
Abilita le API
connectgateway
ecloudresourcemanager
con il seguente comando:gcloud services enable --project=PROJECT_ID \ connectgateway.googleapis.com \ cloudresourcemanager.googleapis.com
Sostituisci
PROJECT_ID
con l'ID del tuo progetto AWS.Se non esiste, crea un gruppo denominato
gke-security-groups
nel dominio del progetto.Crea uno o più sottogruppi all'interno del gruppo
gke-security-groups
per l'autenticazione dei cluster.Aggiungere utenti ai sottogruppi appena creati.
Per l'accesso
kubectl
utilizzando il gateway di connessione, devi concedere i ruoli IAM ai gruppi Google:Seleziona un ruolo appropriato per un gruppo. Questo ruolo determina il modo in cui il gruppo interagisce con il gateway di connessione. Il ruolo può essere uno dei seguenti:
roles/gkehub.gatewayAdmin
,roles/gkehub.gatewayEditor
oroles/gkehub.gatewayReader
. Tieni presente che non stai concedendo autorizzazioni per il cluster qui, questo passaggio viene eseguito più avanti. Qui devi solo determinare in che modo gli utenti del gruppo possono manipolare il gateway di connessione.)Esegui questo comando per concedere il ruolo al gruppo:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=group:GROUP_NAME@DOMAIN \ --role=GATEWAY_ROLE
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progetto GoogleGROUP_NAME
: il nome del gruppo a cui concedere l'accessoDOMAIN
: il tuo dominio Google WorkspaceGATEWAY_ROLE
: il ruolo selezionato. Ad esempioroles/gkehub.gatewayAdmin
,roles/gkehub.gatewayEditor
oroles/gkehub.gatewayReader
.
In un manifest Kubernetes, definisci le autorizzazioni di ogni gruppo Google sul cluster. Ad esempio, il manifest seguente concede al gruppo Google
cluster-admin-team
il ruolo di amministratore del cluster:apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-group subjects: - kind: Group name: cluster-admin-team@example.com roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io
Salva il manifest in un file e applicalo al cluster eseguendo questo comando:
kubectl apply -kubeconfig=KUBECONFIG_PATH -f FILENAME
Sostituisci quanto segue:
KUBECONFIG_PATH
: il percorso del filekubeconfig
.FILENAME
: il nome del file manifest che hai creato.
Dopo aver eseguito questi passaggi, gli utenti che appartengono a determinati gruppi Google possono connettersi al cluster. Nell'esempio fornito, gli utenti che appartengono al gruppo Google cluster-admin-team
possono connettersi al cluster come amministratori.