アクセスの要件
このページでは、GKE on Azure を使用するための Azure と Google Cloud の要件について説明します。
Azure
このセクションでは、GKE on Azure をインストールして使用するために必要な Azure の権限とネットワーク アクセスについて説明します。
インストールのロールと権限
GKE on Azure の Azure アカウントを設定するには、以下の Azure の組み込みロールが必要です。
Azure Active Directory のアプリケーションの作成と証明書のアップロードを行うアプリケーション管理者。
リソース グループとリソースへのアクセス権を付与するユーザー アクセス管理者。
リソースを作成する投稿者。
アプリケーションのロールと権限
GKE on Azure で Azure アカウントのリソースを管理できるようにするには、アプリ登録の権限を付与する必要があります。次のセクションでは、これらの権限について説明します。
これらの権限を付与する方法の例については、前提条件をご覧ください。
カスタムロールを作成する
GKE on Azure には、クラスタ コントロール プレーンが同じ VNet 上のリソースへのアクセスを許可するカスタムロールを作成するために、次の権限が必要です。
スコープ: VNet リソース グループ
権限:
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
VNet に参加する
GKE on Azure では、仮想ネットワーク(VNet)にリソースを結合するために、次の権限が必要です。また、コントロール プレーン仮想マシン(VM)インスタンスで仮想ネットワークを使用できるように、ロールの割り当てを設定します。
スコープ: VNet リソース
権限:
"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
VM Identity のロール
GKE on Azure では、リソースを作成し、リソース グループ内で VM ID のロールの割り当てを管理するために、次の Azure の組み込みロールが必要です。GKE on Azure も Azure Key Vault を使用して Secret を配布します。
スコープ: クラスタのリソース グループ
ロール:
送信ネットワーク アクセス
デフォルトでは、GKE on Azure クラスタは Azure Virtual Network(VNet)に対して限定公開です。つまり、インターネットからの受信トラフィックは許可されず、VM にはパブリック IP アドレスがありません。
クラスタの作成や管理を行うには、送信インターネット アクセスを制限します。送信インターネット接続は、NAT ゲートウェイによって提供される必要があります。
送信接続
このセクションでは、GKE on Azure がクラスタの作成と管理のために接続する必要があるアドレスを定義します。
一般的な接続
コントロール プレーンとノードプールの VM が DNS を解決し、ポート 443 で送信 TCP 接続を確立できる必要があります。
送信ホスト名
GKE on Azure は、次のエンドポイントに接続する場合があります。
| エンドポイント | 理由 |
|---|---|
storage.googleapis.com |
インストール中に Cloud Storage からバイナリ依存関係をフェッチする場合。 |
*.gcr.io |
インストール中に Container Registry からバイナリ依存関係をフェッチする場合。 |
gkeconnect.googleapis.com |
Google Kubernetes Engine(GKE)Enterprise エディションのマルチクラスタ管理の場合。 |
oauth2.googleapis.com sts.googleapis.com |
クラスタ認証用。 |
logging.googleapis.com |
Cloud Logging にログを送信する場合。 |
monitoring.googleapis.com |
Cloud Monitoring に指標を送信する場合。 |
opsconfigmonitoring.googleapis.com |
リソース メタデータを Cloud Monitoring に送信する場合。 |
servicecontrol.googleapis.com |
Cloud Audit Logging の場合。 |
Google Cloud
このセクションでは、GKE on Azure をインストールするために必要な Google Cloud Identity and Access Management(IAM)のロールと権限について説明します。
Identity and Access Management ロール
GKE on Azure をインストールする
GKE on Azure のプレビュー版をインストールするには、GKE on Azure API を有効にするユーザーが許可リストに含まれている必要があります。
クラスタを管理する
GKE クラスタを管理するには、事前定義 IAM ロールを使用します。詳細については、API 権限をご覧ください。
Google Cloud API
GKE on Azure は、 Google Cloud プロジェクトで次の API を使用します。
gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com
ワークステーションを設定する
GKE on Azure をインストールしてアップグレードするには、Linux または macOS を実行しているワークステーションにアクセスできる必要があります。このドキュメントは、Linux または macOS で bash シェルを使用していることを前提としています。bash シェル環境にアクセスできない場合は、Cloud Shell を使用できます。
Azure
GKE on Azure をインストールするには、Azure CLI をインストールする必要があります。詳細については、Azure CLI をインストールするをご覧ください。
Google Cloud CLI
GKE on Azure は、Google Cloud CLI バージョン 347.0.0 以降からインストールして管理します。gcloud CLI がインストールされていることを確認するには、次のコマンドを実行します。
gcloud version
gcloud CLI がインストールされていない場合は、Google Cloud CLI のインストールをご覧ください。
次のステップ
- インストールの前提条件を完了する。