Conéctate a tu clúster y autentícate en él
En esta página, se explica cómo conectarse y autenticarse en GKE en Azure.
Tienes varias opciones para autenticarte en los clústeres de GKE. En todas las opciones siguientes, se supone que la puerta de enlace de Connect o el usuario pueden conectarse al plano de control del clúster:
Identidad de Google: Es la opción de autenticación predeterminada que proporciona GKE en Azure sin configuración adicional.
OpenID Connect (OIDC): compatible con GKE Identity Service
Autenticación de identidad de Google
De forma predeterminada, la API de GKE Multi-Cloud otorga al usuario que crea el clúster las políticas de control de acceso según el rol (RBAC) de Kubernetes que permiten al usuario autenticarse con el clúster con su identidad de Google. El usuario que creó el clúster puede agregar a otros usuarios como usuarios administradores con acceso administrativo completo al clúster.
Además de la política de permisos RBAC que otorga el rol de clusterrole/cluster-admin
a los usuarios administradores, la API de GKE Multi-Cloud configura una
política de suplantación de identidad
que autoriza al agente de Connect
a enviar solicitudes al servidor de la API de Kubernetes en nombre de un usuario administrador.
Puedes autenticarte en el clúster con tu identidad de Google de las siguientes maneras:
Usa kubectl con identidad desde la CLI de gcloud
Puedes usar Google Cloud CLI para crear un kubeconfig
que use la identidad del usuario autenticado con gcloud auth login
. Luego, puedes usar kubectl
para acceder al clúster.
Para el acceso kubectl
cuando se usa la puerta de enlace de Connect, si un usuario administrador no es propietario del proyecto, como mínimo, se le deben otorgar los siguientes roles en el proyecto:
roles/gkehub.gatewayAdmin
: Este rol permite que un usuario acceda a la API de la puerta de enlace de Connect para usarkubectl
a fin de administrar el clúster.Si un usuario solo necesita acceso de solo lectura a clústeres conectados, puedes otorgar
roles/gkehub.gatewayReader
en su lugar.Si un usuario necesita acceso de lectura/escritura a clústeres conectados, puedes otorgar
roles/gkehub.gatewayEditor
.
roles/gkehub.viewer
: Este rol permite que un usuario recuperekubeconfigs
del clúster.
Para obtener más información sobre los permisos incluidos en estas funciones, consulta funciones de GKE Hub en la documentación de IAM.
Para obtener más información sobre cómo otorgar permisos y roles de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.
Después de que un usuario administrador tenga los roles necesarios, sigue los pasos en Configura el acceso al clúster para kubectl.
Usa la consola de Google Cloud
Los usuarios administradores que no son propietarios de proyectos y desean interactuar con los clústeres mediante la consola necesitan los siguientes roles como mínimo:
roles/container.viewer
. Este rol permite que los usuarios vean la página de clústeres de GKE y otros recursos de contenedores en la consola de Google Cloud. Para obtener más información sobre los permisos incluidos en este rol, consulta Roles de Kubernetes Engine en la documentación de IAM.roles/gkehub.viewer
Este rol permite que los usuarios vean clústeres fuera de Google Cloud en la consola de Google Cloud. Ten en cuenta que este es uno de los roles necesarios para acceder akubectl
. Si ya otorgaste este rol a un usuario, no necesitas volver a otorgarlo. Para obtener detalles sobre los permisos incluidos en este rol, consulta Roles de GKE Hub en la documentación de IAM.
Para obtener más información sobre cómo otorgar permisos y roles de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.
Para obtener información acerca del acceso al clúster desde la consola, consulta Accede con tu identidad de Google Cloud.
Usa Grupos de Google
Para conectarte a tu clúster como miembro de un Grupo de Google, consulta Conecta Grupos de Google a GKE en Azure.
Autenticar con OIDC
Para obtener información acerca de la autenticación en tu clúster con OIDC, consulta Administra la identidad con GKE Identity Service.
Autentica con identidades externas
Para obtener información acerca de la autenticación en tu clúster con identidades externas, consulta Autentica con identidades externas.
Conéctate al plano de control de tu clúster
Todos los clústeres de GKE en Azure se crean en subredes privadas. Toda la infraestructura subyacente del clúster (por ejemplo, nodos y extremos de los balanceadores de cargas) se aprovisiona solo con direcciones IP RFC 1918 privadas.
Para administrar tu clúster de manera directa, debes poder conectarte al balanceador de cargas del plano de control de tu clúster. Si el clúster no se puede conectar directamente al plano de control, pero puede realizar conexiones salientes, puedes conectarte al plano de control a través de la puerta de enlace de Connect, un proxy inverso alojado en Google en tu clúster. Para obtener más información, consulta Conéctate a clústeres registrados con la puerta de enlace de Connect.
También puedes conectarte a través del servicio ExpressRoute de Azure.