Dokumentasi ini ditujukan untuk GKE versi terbaru di Azure, yang dirilis pada November 2021. Lihat Catatan rilis untuk mengetahui informasi selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan autentikasi

Halaman ini menjelaskan cara GKE di Azure menangani autentikasi ke Google Cloud dan autentikasi pengguna ke cluster Anda.

Cara GKE di Azure terhubung ke Azure

GKE Multi-Cloud API mengautentikasi ke Azure dengan objek AzureClient. Saat Anda membuat klien, Google akan menghasilkan pasangan kunci X.509. Anda harus mengupload kunci publik ke Azure Active Directory (Azure AD).

Untuk mengetahui informasi selengkapnya, lihat Membuat AzureClient.

Authentication

Autentikasi GKE Multi-Cloud API

Anda dapat menggunakan GKE Multi-Cloud API untuk membuat, mengupdate, serta menghapus cluster dan node pool. Seperti Google Cloud API lainnya, Anda dapat menggunakan API ini dengan REST, Google Cloud CLI, atau Konsol Google Cloud.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan autentikasi Google Cloud dan dokumentasi referensi GKE Multi-Cloud API.

Autentikasi Kubernetes API

Anda dapat menggunakan alat command line kubectl untuk menjalankan operasi cluster seperti men-deploy beban kerja dan mengonfigurasi load balancer. Alat kubectl terhubung ke Kubernetes API di bidang kontrol cluster Anda. Untuk memanggil API ini, Anda perlu melakukan autentikasi dengan kredensial yang diotorisasi.

Untuk mendapatkan kredensial, Anda dapat menggunakan salah satu metode berikut:

Google Identity, yang memungkinkan pengguna login menggunakan Google Cloud Identity. Gunakan opsi ini jika pengguna Anda sudah memiliki akses ke Google Cloud dengan Google Identity.
GKE Identity Service, yang memungkinkan pengguna login menggunakan OpenID Connect (OIDC).

GKE Identity Service memungkinkan Anda menggunakan penyedia identitas seperti Okta, Active Directory Federation Services (ADFS), atau penyedia identitas apa pun yang mematuhi OIDC.

Otorisasi

GKE di Azure memiliki dua metode untuk kontrol akses, GKE Multi-Cloud API dan role-based access control (RBAC). Bagian ini menjelaskan perbedaan antara metode tersebut.

Sebaiknya ambil pendekatan berlapis untuk melindungi cluster dan workload. Anda dapat menerapkan prinsip hak istimewa terendah ke tingkat akses yang Anda berikan untuk pengguna dan workload Anda. Anda mungkin perlu melakukan kompromi untuk memungkinkan tingkat fleksibilitas dan keamanan yang tepat.

Kontrol akses GKE Multi-Cloud API

GKE Multi-Cloud API memungkinkan administrator cluster membuat, mengupdate, serta menghapus cluster dan node pool. Anda dapat mengelola izin untuk API dengan Identity and Access Management (IAM). Untuk menggunakan API, pengguna harus memiliki izin yang sesuai. Untuk izin yang diperlukan bagi setiap operasi, lihat Peran dan izin API. IAM memungkinkan Anda menentukan peran dan menetapkannya ke akun utama. Peran adalah kumpulan izin, dan saat ditetapkan ke akun utama, mengontrol akses ke satu atau beberapa resource Google Cloud.

Saat Anda membuat cluster atau kumpulan node dalam organisasi, folder, atau project, pengguna dengan izin yang sesuai di organisasi, folder, atau project tersebut dapat mengubahnya. Misalnya, jika Anda memberi pengguna izin penghapusan cluster di level project Google Cloud, pengguna tersebut dapat menghapus cluster apa pun dalam project tersebut. Untuk mengetahui informasi selengkapnya, lihat Hierarki resource Google Cloud dan Membuat kebijakan IAM.

Kontrol akses Kubernetes API

Kubernetes API dapat digunakan untuk mengelola objek Kubernetes. Untuk mengelola kontrol akses di Kubernetes API, gunakan kontrol akses berbasis peran (RBAC). Untuk mengetahui informasi selengkapnya, baca Mengonfigurasi kontrol akses berbasis peran dalam dokumentasi GKE.

Akses administrator

Saat Anda menggunakan gcloud CLI untuk membuat cluster, secara default GKE Multi-Cloud API akan menambahkan akun pengguna Anda sebagai administrator dan membuat kebijakan RBAC yang sesuai, sehingga memberi Anda akses administratif penuh ke cluster tersebut. Untuk mengonfigurasi pengguna yang berbeda, teruskan tanda --admin-users saat Anda membuat atau mengupdate cluster. Saat menggunakan flag --admin-users, Anda harus menyertakan semua pengguna yang dapat mengelola cluster. Gcloud CLI tidak menyertakan pengguna yang membuat cluster.

Anda juga dapat menambahkan pengguna admin menggunakan Konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Mengupdate cluster.

Untuk melihat konfigurasi akses cluster Anda, jalankan perintah berikut:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Selain kebijakan RBAC untuk mengakses server Kubernetes API, jika pengguna admin bukan pemilik project, Anda perlu memberikan peran IAM tertentu agar pengguna admin dapat melakukan autentikasi menggunakan identitas Google mereka. Untuk mengetahui informasi lebih lanjut tentang cara menghubungkan ke cluster, baca artikel Menghubungkan dan melakukan autentikasi ke cluster.

Langkah selanjutnya

Untuk menyiapkan OIDC, lihat Mengelola identitas dengan GKE Identity Service.
Hubungkan dan lakukan autentikasi ke cluster Anda.