Requisitos de acceso
Esta página describe Azure y Google Cloud Requisitos para usar GKE en Azure.
Azur
Esta sección describe los permisos de Azure y el acceso a la red necesarios para instalar y usar GKE en Azure.
Roles y permisos de instalación
Para configurar su cuenta de Azure para GKE en Azure, necesita los siguientes roles integrados de Azure :
Administrador de aplicaciones para crear una aplicación de Azure Active Directory y cargar certificados.
Administrador de acceso de usuario para otorgar acceso a un grupo de recursos y recursos.
Colaborador para la creación de recursos.
Roles y permisos de la aplicación
Para permitir que GKE en Azure administre recursos en su cuenta de Azure, debe otorgar permisos de registro a la aplicación. La siguiente sección describe estos permisos.
Para obtener ejemplos de cómo otorgar estos permisos, consulte Requisitos previos .
Crear roles personalizados
GKE en Azure necesita los siguientes permisos para crear roles personalizados que otorguen a los planos de control del clúster acceso a los recursos en la misma red virtual.
Alcance: su grupo de recursos de VNet
Permisos:
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
Únase a la VNet
GKE en Azure necesita los siguientes permisos para unir recursos a la red virtual (VNet). También configura la asignación de roles para permitir que las instancias de máquinas virtuales (VM) del plano de control usen la red virtual.
Alcance: recurso de VNet
Permisos:
"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
Roles de identidad de VM
GKE en Azure necesita los siguientes roles integrados de Azure para crear recursos y administrar las asignaciones de roles de identidad de máquina virtual dentro de los grupos de recursos. GKE en Azure también usa Azure Key Vault para distribuir secretos.
Alcance: su grupo de recursos del clúster
Roles:
Acceso a la red de salida
De forma predeterminada, los clústeres de GKE en Azure son privados para su red virtual de Azure (VNet). Esto significa que no se permite el tráfico entrante desde Internet y las máquinas virtuales no tienen direcciones IP públicas.
Se requiere acceso limitado a internet de salida para crear y administrar clústeres. La conectividad a internet de salida debe proporcionarse mediante una puerta de enlace NAT.
Conexiones salientes
Esta sección define las direcciones donde GKE en Azure necesita conectarse para crear y administrar clústeres.
Conexiones generales
Las máquinas virtuales del plano de control y del grupo de nodos deben poder resolver DNS y establecer conexiones TCP salientes en el puerto 443.
Nombres de host de salida
GKE en Azure podría conectarse a los siguientes puntos de conexión:
| Punto final | Razón |
|---|---|
storage.googleapis.com | Para obtener dependencias binarias de Cloud Storage durante la instalación. |
*.gcr.io | Para obtener dependencias binarias durante la instalación desde Container Registry. |
gkeconnect.googleapis.com | Para la administración de múltiples clústeres de la edición Enterprise de Google Kubernetes Engine (GKE) . |
oauth2.googleapis.comsts.googleapis.com | Para la autenticación de clúster. |
logging.googleapis.com | Para enviar registros a Cloud Logging. |
monitoring.googleapis.com | Para enviar métricas a Cloud Monitoring. |
opsconfigmonitoring.googleapis.com | Para enviar metadatos de recursos a Cloud Monitoring. |
servicecontrol.googleapis.com | Para el registro de auditoría en la nube. |
Google Cloud
En esta sección se describe la Google Cloud Roles y permisos de administración de identidad y acceso (IAM) que necesita para instalar GKE en Azure.
Roles de gestión de identidad y acceso
Instalar GKE en Azure
Para instalar la versión preliminar de GKE en Azure, el usuario que activa la API de GKE en Azure debe ser parte de una lista de permitidos.
Administrar clústeres
Para administrar clústeres de GKE, puede usar roles de IAM predefinidos. Para obtener más información, consulte Permisos de API .
Google Cloud API
GKE en Azure usa las siguientes API en su Google Cloud proyecto:
gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com
Configurar la estación de trabajo
Para instalar y actualizar su GKE en Azure, debe tener acceso a una estación de trabajo con Linux o macOS. Esta documentación presupone que utiliza un shell bash en Linux o macOS. Si no tiene acceso a un entorno de shell bash, puede usar Cloud Shell .
Azur
Para instalar GKE en Azure, necesita tener instalada la CLI de Azure. Para obtener más información, consulte Instalar la CLI de Azure .
Interfaz de línea de comandos de Google Cloud
Puede instalar y administrar GKE en Azure con la CLI de Google Cloud desde la versión 347.0.0 o posterior. Para confirmar que tiene instalada la CLI de gcloud, ejecute el siguiente comando:
gcloud version
Si no tiene instalada la CLI de gcloud, consulte Instalación de la CLI de Google Cloud .
¿Qué sigue?
- Complete los requisitos previos para la instalación.