Requisiti di accesso
Questa pagina descrive i requisiti di Azure e Google Cloud per utilizzare GKE su Azure .
Azure
Questa sezione descrive le autorizzazioni e l'accesso alla rete di Azure richiesti per installare e utilizzare GKE su Azure.
Ruoli e autorizzazioni di installazione
Per configurare il tuo account Azure per GKE su Azure, sono necessari i seguenti ruoli integrati di Azure:
Amministratore di applicazioni per creare un'applicazione Azure Active Directory e caricare i certificati.
Amministratore dell'accesso utente per concedere l'accesso a un gruppo di risorse e alle risorse.
Collaboratore per la creazione di risorse.
Ruoli e autorizzazioni dell'applicazione
Per consentire a GKE on Azure di gestire le risorse nel tuo account Azure, devi concedere le autorizzazioni di registrazione dell'app. La sezione seguente descrive queste autorizzazioni.
Per esempi su come concedere queste autorizzazioni, consulta Prerequisiti.
Creazione di ruoli personalizzati
GKE su Azure ha bisogno delle seguenti autorizzazioni per creare ruoli personalizzati che concedono ai control plane del cluster l'accesso alle risorse nella stessa VNet.
Ambito: il gruppo di risorse della VNet
Autorizzazioni:
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
Partecipa alla VNet
GKE on Azure ha bisogno delle seguenti autorizzazioni per unire le risorse alla rete virtuale (VNet). Inoltre, configura le assegnazioni dei ruoli per consentire alle istanze di macchine virtuali (VM) del piano di controllo di utilizzare la rete virtuale.
Ambito: risorsa VNet
Autorizzazioni:
"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
Ruoli di identità VM
GKE su Azure ha bisogno dei seguenti ruoli integrati di Azure per creare risorse e gestire le assegnazioni dei ruoli dell'identità VM all'interno dei gruppi di risorse. GKE su Azure utilizza anche Azure Key Vault per distribuire i secret.
Ambito: il gruppo di risorse del cluster
Ruoli:
Accesso alla rete in uscita
Per impostazione predefinita, i cluster GKE su Azure sono privati per la tua rete virtuale Azure (VNet). Ciò significa che il traffico in entrata da internet non è consentito e le VM non hanno indirizzi IP pubblici.
Per creare e gestire i cluster è necessario un accesso a internet in uscita limitato. La connettività a internet in uscita deve essere fornita da un gateway NAT.
Connessioni in uscita
Questa sezione definisce gli indirizzi a cui GKE on Azure deve collegarsi per creare e gestire i cluster.
Connessioni generali
Le VM del control plane e del pool di nodi devono essere in grado di risolvere i DNS e stabilire connessioni TCP in uscita sulla porta 443.
Nomi host in uscita
GKE su Azure potrebbe connettersi ai seguenti endpoint:
| Endpoint | Motivo |
|---|---|
storage.googleapis.com |
Per recuperare le dipendenze binarie da Cloud Storage durante l'installazione. |
*.gcr.io |
Per il recupero delle dipendenze binarie durante l'installazione da Container Registry. |
gkeconnect.googleapis.com |
Per la gestione di più cluster nella versione Enterprise di Google Kubernetes Engine (GKE). |
oauth2.googleapis.com sts.googleapis.com |
Per l'autenticazione del cluster. |
logging.googleapis.com |
Per l'invio di log a Cloud Logging. |
monitoring.googleapis.com |
Per l'invio delle metriche a Cloud Monitoring. |
opsconfigmonitoring.googleapis.com |
Per l'invio dei metadati delle risorse a Cloud Monitoring. |
servicecontrol.googleapis.com |
Per Cloud Audit Logs. |
Google Cloud
Questa sezione descrive i ruoli e le autorizzazioni di Google Cloud Identity and Access Management (IAM) necessari per installare GKE su Azure.
Ruoli di Identity and Access Management
Installa GKE su Azure
Per installare la versione di anteprima di GKE su Azure, l'utente che attiva l'API GKE su Azure deve far parte di una lista consentita.
Gestisci i cluster
Per gestire i cluster GKE, puoi utilizzare i ruoli IAM predefiniti. Per ulteriori informazioni, consulta Autorizzazioni API.
Google Cloud API
GKE su Azure utilizza le seguenti API nel tuo Google Cloud progetto:
gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com
Configurare la workstation
Per installare e eseguire l'upgrade di GKE su Azure, devi avere accesso a una workstation con Linux o macOS. Questa documentazione presuppone che tu stia utilizzando una shell bash su Linux o macOS. Se non hai accesso a un ambiente shell bash, puoi utilizzare Cloud Shell.
Azure
Per installare GKE su Azure, devi installare Azure CLI. Per saperne di più, consulta Installare Azure CLI.
Google Cloud CLI
Installa e gestisci GKE su Azure con Google Cloud CLI dalla versione 347.0.0 o successive. Per verificare di avere installato gcloud CLI, esegui il seguente comando:
gcloud version
Se non hai installato gcloud CLI, consulta Installazione di Google Cloud CLI.
Passaggi successivi
- Completa i prerequisiti per l'installazione.