Zugriffsanforderungen
Auf dieser Seite werden die Anforderungen von Azure und Google Cloud für die Verwendung von GKE on Azure beschrieben .
Azure
In diesem Abschnitt werden die Azure-Berechtigungen und der Netzwerkzugriff beschrieben, die zum Installieren und Verwenden von GKE on Azure erforderlich sind.
Installationsrollen und -berechtigungen
Zum Einrichten Ihres Azure-Kontos für GKE on Azure benötigen Sie die folgenden integrierten Azure-Rollen:
Anwendungsadministrator zum Erstellen einer Azure Active Directory-Anwendung und zum Hochladen von Zertifikaten.
Nutzerzugriffsadministrator für die Gewährung des Zugriffs auf eine Ressourcengruppe und Ressourcen.
Mitwirkender zum Erstellen von Ressourcen.
Anwendungsrollen und -berechtigungen
Damit GKE on Azure Ressourcen in Ihrem Azure-Konto verwalten kann, müssen Sie die Berechtigungen für die Anwendungsregistrierung erteilen. Im folgenden Abschnitt werden diese Berechtigungen beschrieben.
Beispiele für das Erteilen dieser Berechtigungen finden Sie unter Voraussetzungen.
Benutzerdefinierte Rollen erstellen
GKE on Azure benötigt die folgenden Berechtigungen, um benutzerdefinierte Rollen zu erstellen, die Cluster-Steuerungsebenen Zugriff auf Ressourcen im selben VNet gewähren.
Bereich: Ihre VNet-Ressourcengruppe
Berechtigungen:
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
VNet-Verbindungen
GKE on Azure benötigt die folgenden Berechtigungen, um Ressourcen mit dem virtuellen Netzwerk (VNet) zu verbinden. Außerdem werden Rollenzuweisungen festgelegt, damit VM-Instanzen der Steuerungsebene das virtuelle Netzwerk verwenden können.
Bereich: VNet-Ressource
Berechtigungen:
"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
VM-Identitätsrollen
GKE on Azure benötigt die folgenden in Azure integrierten Rollen, um Ressourcen zu erstellen und VM-Identitätsrollenzuweisungen in Ressourcengruppen zu verwalten. GKE on Azure verwendet auch Azure Key Vault zum Verteilen von Secrets.
Bereich: Ihre Clusterressourcengruppe
Rollen:
Ausgehender Netzwerkzugriff
Standardmäßig sind GKE on Azure-Cluster für Ihr Azure Virtual Network (VNet) privat. Das bedeutet, dass eingehender Traffic aus dem Internet nicht zulässig ist und VMs keine öffentlichen IP-Adressen haben.
Zum Erstellen und Verwalten von Clustern ist ein eingeschränkter ausgehender Internetzugriff erforderlich. Ausgehende Internetverbindungen sollten von einem NAT-Gateway bereitgestellt werden.
Ausgehende Verbindungen
In diesem Abschnitt werden die Adressen definiert, unter denen GKE on Azure eine Verbindung herstellen muss, um Cluster zu erstellen und zu verwalten.
Allgemeine Verbindungen
Steuerungsebenen- und Knotenpool-VMs müssen DNS auflösen und ausgehende TCP-Verbindungen an Port 443 einrichten können.
Hostnamen für ausgehenden Traffic
GKE on Azure kann eine Verbindung zu den folgenden Endpunkten herstellen:
| Endpunkt | Grund |
|---|---|
storage.googleapis.com |
Zum Abrufen binärer Abhängigkeiten aus Cloud Storage während der Installation. |
*.gcr.io |
Zum Abrufen binärer Abhängigkeiten während der Installation aus Container Registry. |
gkeconnect.googleapis.com |
Für die Mehrklusterverwaltung in der Google Kubernetes Engine (GKE) Enterprise Edition. |
oauth2.googleapis.com sts.googleapis.com |
Für die Clusterauthentifizierung. |
logging.googleapis.com |
Zum Senden von Logs an Cloud Logging |
monitoring.googleapis.com |
Zum Senden von Messwerten an Cloud Monitoring |
opsconfigmonitoring.googleapis.com |
Zum Senden von Ressourcenmetadaten an Cloud Monitoring |
servicecontrol.googleapis.com |
Für Cloud-Audit-Logging |
Google Cloud
In diesem Abschnitt werden die Google Cloud IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die Sie zum Installieren von GKE on Azure benötigen.
Identitäts- und Zugriffsverwaltungsrollen
GKE on Azure installieren
Um die Vorschau von GKE on Azure zu installieren, muss der Nutzer, der die GKE on Azure API aktiviert, Teil einer Zulassungsliste sein.
Cluster verwalten
Sie können vordefinierte IAM-Rollen verwenden, um GKE-Cluster zu verwalten. Weitere Informationen finden Sie unter API-Berechtigungen.
Google Cloud APIs
GKE on Azure verwendet die folgenden APIs in Ihrem Projekt: Google Cloud
gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com
Workstation einrichten
Zum Installieren und Aktualisieren von GKE on Azure müssen Sie Zugriff auf eine Workstation haben, auf der Linux oder macOS ausgeführt wird. In dieser Dokumentation wird davon ausgegangen, dass Sie eine Bash-Shell unter Linux oder macOS verwenden. Wenn Sie nicht auf eine Bash-Shell-Umgebung zugreifen können, verwenden Sie Cloud Shell.
Azure
Um GKE in Azure zu installieren, muss die Azure-Befehlszeile installiert sein. Weitere Informationen finden Sie unter Azure-Befehlszeile installieren.
Google Cloud CLI
Sie installieren und verwalten GKE on Azure mit der Google Cloud CLI ab Version 347.0.0. Führen Sie den folgenden Befehl aus, um zu bestätigen, dass die gcloud CLI installiert ist:
gcloud version
Wenn die gcloud CLI nicht installiert ist, finden Sie weitere Informationen unter Google Cloud CLI installieren.