Esta documentación es para la versión más reciente de GKE en Azure, que se lanzó en noviembre de 2021. Consulta las notas de la versión para obtener más información.

Requisitos de acceso

En esta página, se describen los requisitos de Azure y Google Cloud para usar GKE en Azure.

Azure

En esta sección, se describen los permisos y el acceso a la red de Azure necesarios para instalar y usar GKE en Azure.

Roles y permisos de la instalación

Si deseas configurar la cuenta de Azure para GKE en Azure, necesitas los siguientes roles integradas de Azure:

Administrador de aplicaciones para crear una aplicación de Azure Active Directory y subir certificados.
Administrador de acceso de usuario para otorgar acceso a un grupo de recursos y a los recursos.
Contributor para crear recursos.

Funciones y permisos de la aplicación

Para permitir que GKE en Azure administre recursos en tu cuenta de Azure, debes otorgar los permisos de registro de la app. En la siguiente sección, se describen estos permisos.

Para ver ejemplos de cómo otorgar estos permisos, consulta Requisitos previos.

Crea roles personalizados

GKE en Azure necesita los siguientes permisos para crear roles personalizados que otorguen a los planos de control de clúster acceso a los recursos de la misma VNet.

Alcance: tu grupo de recursos de VNet

Permisos:

"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",

Únete a VNet

GKE en Azure necesita los siguientes permisos para unir recursos a la red virtual (VNet). También configura las asignaciones de funciones para permitir que las instancias de máquina virtual (VM) del plano de control usen la red virtual.

Alcance: recurso de VNet

Permisos:

"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",

Funciones de identidad de VM

GKE en Azure necesita los siguientes roles integrados de Azure para crear recursos y administrar las asignaciones de roles de identidad de VM a grupos de recursos. GKE en Azure también usa Azure Key Vault para distribuir secretos.

Alcance: tu grupo de recursos de clúster

Funciones:

Acceso a la red saliente

De forma predeterminada, los clústeres de GKE en Azure son privados para Azure Virtual Network (VNet). Esto significa que no se permite el tráfico entrante de Internet y las VM no tienen direcciones IP públicas.

Se necesita acceso de Internet saliente limitado para crear y administrar clústeres. La puerta de enlace NAT debe proporcionar la conectividad a Internet saliente.

Conexiones salientes

En esta sección, se definen las direcciones en las que GKE en Azure debe conectarse para crear y administrar clústeres.

Conexiones generales

Las VM del plano de control y del grupo de nodos deben poder resolver el DNS y establecer conexiones TCP salientes en el puerto 443.

Nombres de host salientes

GKE en Azure puede conectarse a los siguientes extremos:

Extremos	Motivo
`storage.googleapis.com`	Para recuperar dependencias binarias de Cloud Storage durante la instalación.
`*.gcr.io`	Para recuperar dependencias binarias de Container Registry durante la instalación.
`gkeconnect.googleapis.com`	Para la administración de varios clústeres de la edición Enterprise de Google Kubernetes Engine (GKE).
`oauth2.googleapis.com` `sts.googleapis.com`	Para la autenticación del clúster.
`logging.googleapis.com`	Para enviar registros a Cloud Logging.
`monitoring.googleapis.com`	Para enviar métricas a Cloud Monitoring.
`opsconfigmonitoring.googleapis.com`	Para enviar metadatos de recursos a Cloud Monitoring.
`servicecontrol.googleapis.com`	Para Cloud Audit Logging.

Google Cloud

En esta sección, se describen los roles y los permisos de Google Cloud Identity and Access Management (IAM) que necesitas para instalar los clústeres de GKE en Azure.

Roles de Identity and Access Management

Instala GKE en Azure

Para instalar la vista previa de GKE en Azure, el usuario que activa la API de GKE en Azure debe formar parte de una lista de entidades permitidas.

Administrar clústeres

Para administrar los clústeres de GKE, puedes usar los roles predefinidos de IAM. Para obtener más información, consulta Permisos de la API.

APIs de Google Cloud

GKE en Azure usa las siguientes API en tu proyecto de Google Cloud:

gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com

Configura la estación de trabajo

Para instalar y actualizar GKE en Azure, debes tener acceso a una estación de trabajo que ejecuta Linux o MacOS. En esta documentación, se supone que usas un shell Bash en Linux o macOS. Si no tienes acceso a un entorno de shell Bash, puedes usar Cloud Shell.

Azure

Para instalar GKE en Azure, debes tener instalada la CLI de Azure. Para obtener más información, consulta Instala la CLI de Azure.

Google Cloud CLI

Instala y administra GKE en Azure con la versión 347.0.0 o versiones posteriores de Google Cloud CLI. Para confirmar que tienes instalada gcloud CLI, ejecuta el siguiente comando:

gcloud version

Si no tienes instalada la CLI de gcloud, consulta Instala Google Cloud CLI.

¿Qué sigue?

Completa los requisitos para la instalación.