Connessione al cluster e autenticazione
Questa pagina spiega come connettersi e autenticarsi a GKE su Azure.
Hai più opzioni per l'autenticazione nei cluster GKE. Tutte le opzioni seguenti presuppongono che il gateway di connessione o l'utente sia in grado di connettersi al piano di controllo del cluster:
Identità Google: l'opzione di autenticazione predefinita fornita da GKE su Azure senza configurazione aggiuntiva.
Open ID Connect (OIDC) : supportato da GKE Identity Service
Autenticazione dell'identità Google
Per impostazione predefinita, l'API GKE Multi-Cloud concede all'utente che crea il cluster i criteri di Kubernetes per il controllo dell'accesso basato sui ruoli (RBAC) che consentono all'utente di autenticarsi con il cluster utilizzando la sua identità Google. L'utente che ha creato il cluster può aggiungere altri utenti come utenti amministratori con accesso amministrativo completo al cluster.
Oltre al criterio di autorizzazione RBAC che concede il ruolo clusterrole/cluster-admin
agli utenti amministratori, l'API GKE Multi-Cloud configura un criterio di rappresentazione che autorizza l'agente Connect a inviare richieste al server API Kubernetes per conto di un utente amministratore.
Puoi eseguire l'autenticazione nel cluster con la tua identità Google nei seguenti modi:
Usa kubectl con Identity da gcloud CLI
Puoi utilizzare Google Cloud CLI per creare un kubeconfig
che utilizza l'identità dell'utente autenticato con gcloud auth login
. Puoi quindi utilizzare kubectl
per accedere al cluster.
Per l'accesso a kubectl
quando si utilizza il gateway Connect, se un utente amministratore non è un proprietario del progetto, all'utente devono essere concessi almeno i ruoli seguenti nel progetto:
roles/gkehub.gatewayAdmin
: questo ruolo consente a un utente di accedere all'API Connect Gateway per utilizzarekubectl
per gestire il cluster.Se un utente ha bisogno solo dell'accesso di sola lettura ai cluster connessi, puoi concedere
roles/gkehub.gatewayReader
.Se un utente ha bisogno dell'accesso in lettura / scrittura ai cluster connessi, puoi concedere
roles/gkehub.gatewayEditor
.
roles/gkehub.viewer
: questo ruolo consente a un utente di recuperare il clusterkubeconfigs
.
Per maggiori dettagli sulle autorizzazioni incluse in questi ruoli, consulta Ruoli GKE Hub nella documentazione IAM.
Per saperne di più sulla concessione delle autorizzazioni e dei ruoli IAM, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Una volta che un utente amministratore dispone dei ruoli richiesti, segui i passaggi descritti in Configurare l'accesso ai cluster per kubectl.
Utilizza la console Google Cloud
Gli utenti amministratori che non sono proprietari del progetto e vogliono interagire con i cluster utilizzando la console devono avere almeno i seguenti ruoli:
roles/container.viewer
. Questo ruolo consente agli utenti di visualizzare la pagina Cluster GKE e altre risorse dei container nella console Google Cloud. Per maggiori dettagli sulle autorizzazioni incluse in questo ruolo, consulta Ruoli Kubernetes Engine nella documentazione IAM.roles/gkehub.viewer
. Questo ruolo consente agli utenti di visualizzare i cluster all'esterno di Google Cloud nella console Google Cloud. Tieni presente che questo è uno dei ruoli richiesti per l'accesso akubectl
. Se hai già concesso questo ruolo a un utente, non è necessario concederlo di nuovo. Per maggiori dettagli sulle autorizzazioni incluse in questo ruolo, consulta Ruoli GKE Hub nella documentazione IAM.
Per saperne di più sulla concessione delle autorizzazioni e dei ruoli IAM, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Per informazioni sull'accesso al cluster dalla console, consulta Accedere con Google Cloud Identity.
Utilizza Google Gruppi
Per connetterti al cluster come membro di un gruppo Google, consulta Connettere gruppi Google a GKE su Azure.
Autenticazione con OIDC
Per informazioni sull'autenticazione nel cluster con OIDC, consulta Gestire l'identità con GKE Identity Service.
Autenticazione con identità esterne
Per informazioni sull'autenticazione nel cluster con identità esterne, consulta Autenticazione con identità esterne.
Connettiti al piano di controllo del cluster
Tutti i GKE su Azure vengono creati in subnet private. A tutta l'infrastruttura cluster sottostante (ad esempio nodi ed endpoint del bilanciatore del carico) viene eseguito il provisioning solo con indirizzi IP RFC 1918 privati.
Per gestire direttamente il cluster, devi poterti connettere al bilanciatore del carico del piano di controllo del cluster. Se il cluster non può connettersi direttamente al piano di controllo, ma può effettuare connessioni in uscita, puoi connetterti al piano di controllo tramite Connect Gateway, un proxy inverso ospitato da Google per il cluster. Per maggiori informazioni, consulta Connessione ai cluster registrati con il gateway Connect.
Puoi anche connetterti tramite il servizio ExpressRoute di Azure.