Requisitos de acesso
Esta página descreve o Azure e Google Cloud requisitos para usar o GKE no Azure.
Azul
Esta seção descreve as permissões do Azure e o acesso à rede necessários para instalar e usar o GKE no Azure.
Funções e permissões de instalação
Para configurar sua conta do Azure para o GKE no Azure, você precisa das seguintes funções integradas do Azure :
Administrador de aplicativos para criar um aplicativo do Azure Active Directory e carregar certificados.
Administrador de acesso do usuário para conceder acesso a um grupo de recursos e recursos.
Colaborador na criação de recursos.
Funções e permissões do aplicativo
Para permitir que o GKE no Azure gerencie recursos na sua conta do Azure, você precisa conceder permissões de registro ao aplicativo. A seção a seguir descreve essas permissões.
Para obter exemplos de como conceder essas permissões, consulte Pré-requisitos .
Criar funções personalizadas
O GKE no Azure precisa das seguintes permissões para criar funções personalizadas que concedem aos planos de controle do cluster acesso aos recursos na mesma VNet.
Escopo: seu grupo de recursos de VNet
Permissões:
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",
Junte-se à VNet
O GKE no Azure precisa das seguintes permissões para associar recursos à rede virtual (VNet). Ele também configura atribuições de funções para permitir que instâncias de máquina virtual (VM) do plano de controle usem a rede virtual.
Escopo: recurso VNet
Permissões:
"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
Funções de identidade da VM
O GKE no Azure precisa das seguintes funções integradas do Azure para criar recursos e gerenciar atribuições de funções de identidade de VM em grupos de recursos. O GKE no Azure também usa o Azure Key Vault para distribuir segredos.
Escopo: seu grupo de recursos de cluster
Funções:
Acesso de rede de saída
Por padrão, os clusters do GKE no Azure são privados para sua Rede Virtual do Azure (VNet). Isso significa que o tráfego de entrada da Internet não é permitido, e as VMs não têm endereços IP públicos.
É necessário acesso limitado à internet de saída para criar e gerenciar clusters. A conectividade de saída à internet deve ser fornecida por um gateway NAT.
Conexões de saída
Esta seção define os endereços onde o GKE no Azure precisa se conectar para criar e gerenciar clusters.
Conexões gerais
As VMs do plano de controle e do pool de nós devem ser capazes de resolver o DNS e estabelecer conexões TCP de saída na porta 443.
Nomes de host de saída
O GKE no Azure pode se conectar aos seguintes endpoints:
| Ponto final | Razão |
|---|---|
storage.googleapis.com | Para buscar dependências binárias do Cloud Storage durante a instalação. |
*.gcr.io | Para buscar dependências binárias durante a instalação do Container Registry. |
gkeconnect.googleapis.com | Para gerenciamento de vários clusters da edição Enterprise do Google Kubernetes Engine (GKE) . |
oauth2.googleapis.comsts.googleapis.com | Para autenticação de cluster. |
logging.googleapis.com | Para enviar logs para o Cloud Logging. |
monitoring.googleapis.com | Para enviar métricas ao Cloud Monitoring. |
opsconfigmonitoring.googleapis.com | Para enviar metadados de recursos ao Cloud Monitoring. |
servicecontrol.googleapis.com | Para registro de auditoria em nuvem. |
Google Cloud
Esta seção descreve o Google Cloud Funções e permissões do Identity and Access Management (IAM) necessárias para instalar o GKE no Azure.
Funções de gerenciamento de identidade e acesso
Instalar o GKE no Azure
Para instalar a visualização do GKE no Azure, o usuário que ativa a API do GKE no Azure precisa fazer parte de uma lista de permissões.
Gerenciar clusters
Para gerenciar clusters do GKE, você pode usar funções predefinidas do IAM. Para mais informações, consulte Permissões de API .
Google Cloud APIs
O GKE no Azure usa as seguintes APIs em seu Google Cloud projeto:
gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com
Configurar estação de trabalho
Para instalar e atualizar o GKE no Azure, você precisa ter acesso a uma estação de trabalho com Linux ou macOS. Esta documentação pressupõe que você esteja usando um shell bash no Linux ou macOS. Se você não tiver acesso a um ambiente de shell bash, poderá usar o Cloud Shell .
Azul
Para instalar o GKE no Azure, você precisa ter a CLI do Azure instalada. Para obter mais informações, consulte Instalar a CLI do Azure .
Google Cloud CLI
Instale e gerencie o GKE no Azure com a Google Cloud CLI a partir da versão 347.0.0 ou posterior da Google Cloud CLI. Para confirmar que você tem a CLI gcloud instalada, execute o seguinte comando:
gcloud version
Se você não tiver o gcloud CLI instalado, consulte Instalando o Google Cloud CLI .
O que vem a seguir
- Conclua os pré-requisitos para instalação.