Informazioni su Kubeconfig
File di configurazione di Kubernetes
Kubernetes utilizza un file YAML denominato kubeconfig
per archiviare le informazioni di autenticazione del cluster per kubectl
. kubeconfig
contiene un elenco di contesti a cui kubectl
fa riferimento quando si eseguono comandi. Per impostazione predefinita, il file viene salvato in $HOME/.kube/config
.
Un contesto è un gruppo di parametri di accesso. Ogni contesto contiene un cluster Kubernetes, un utente e uno spazio dei nomi. Il contesto attuale è il cluster attualmente predefinito per kubectl
: tutti i comandi kubectl
vengono eseguiti su quel cluster.
Dopo aver creato un cluster, segui Genera una voce kubeconfig
per aggiungere il contesto del cluster alla tua kubeconfig
locale.
Endpoint privati
Tutti i cluster hanno un endpoint canonico. L'endpoint espone il
server API Kubernetes che kubectl
e altri servizi utilizzano per comunicare con
il piano di controllo del cluster sulla porta TCP 443. In Azure, questo endpoint è un singolo IP privato supportato da un bilanciatore del carico rivolto all'interno, ad esempio 10.0.1.5
. Questo endpoint non è accessibile sulla rete internet pubblica. Puoi ottenere l'indirizzo dell'endpoint del cluster privato dal campo endpoint
nell'output del comando gcloud container azure clusters describe
.
Connetti endpoint gateway
Per impostazione predefinita, il comando gcloud container azure clusters get-credentials
genera un kubeconfig
che utilizza il Connetti gateway. Con questo kubeconfig
, kubectl
utilizza Connect, che inoltra in modo sicuro il traffico all'endpoint privato per tuo conto. Quando utilizzi il gateway di Connect, l'endpoint ha il seguente aspetto:
https://connectgateway.googleapis.com/v1/projects/PROJECT_NUMBER/memberships/CLUSTER_NAME
,
dove PROJECT_NUMBER è il numero di progetto e
CLUSTER_NAME è il nome del cluster.
Se hai accesso all'endpoint privato del cluster tramite la VPN, puoi connetterti direttamente all'endpoint privato. Per generare un kubeconfig
utilizzando l'endpoint privato, utilizza il comando gcloud container azure clusters get-credentials --private-endpoint
.
Informazioni sull'autenticazione per kubectl
Tutti i GKE su Azure sono configurati per accettare le identità degli utenti e degli account di servizio Google Cloud, convalidando le credenziali presentate da kubectl
e recuperando l'indirizzo email associato all'identità dell'utente o dell'account di servizio. Di conseguenza, le credenziali di questi account devono includere
l'ambito OAuth userinfo.email
per poter eseguire correttamente l'autenticazione.
Quando utilizzi gcloud
per configurare kubeconfig
del tuo ambiente per un cluster nuovo o esistente, gcloud
fornisce a kubectl
le stesse credenziali utilizzate da gcloud
stesso. Ad esempio, se
utilizzi gcloud auth login
, le tue credenziali personali vengono fornite a
kubectl
, incluso l'ambito userinfo.email
. Questo consente a GKE su Azure di autenticare il client kubectl
.
Una volta autenticati, gli utenti o gli account di servizio Google Cloud devono anche essere autorizzati a eseguire qualsiasi azione su GKE su Azure. L'amministratore del cluster è responsabile della configurazione del controllo degli accessi basato su ruoli appropriato per configurare l'autorizzazione.