Connetti i gruppi Google a GKE su Azure

Questo documento descrive come puoi connetterti a GKE su Azure come membro di un gruppo Google.

L'utilizzo di Google Gruppi per concedere l'accesso al cluster è più efficiente della creazione di autorizzazioni separate per i singoli utenti. Ad esempio, supponiamo che tu voglia aggiungere 50 utenti al gruppo Amministratore del cluster, 75 utenti a un gruppo Editor e 100 utenti a un gruppo Lettore. Per consentire a tutti questi utenti di connettersi al tuo cluster, devi creare regole RBAC nel file manifest di Kubernetes per 225 utenti. Tuttavia, se attivi l'accesso al tuo cluster con Google Gruppi, risparmi tempo perché devi creare solo regole RBAC per tre gruppi Google.

Prima di iniziare

Per connetterti al cluster come membro di un gruppo Google, devi soddisfare i seguenti prerequisiti:

  1. Assicurati di avere installato la versione più recente di Google Cloud CLI. Per informazioni sull'aggiornamento di gcloud CLI, consulta gcloud components update.

  2. Utilizza GKE su Azure versione 1.25 o successive, che è necessaria per kubectl l'accesso tramite Connect Gateway.

Connettiti al cluster con i gruppi Google

Per autorizzare i gruppi Google a connettersi a GKE su Azure:

  1. Abilita le API connectgateway e cloudresourcemanager con il seguente comando:

      gcloud services enable --project=PROJECT_ID \
      connectgateway.googleapis.com \
      cloudresourcemanager.googleapis.com

    Sostituisci PROJECT_ID con l'ID del tuo progetto Azure.

  2. Se non esiste, crea un gruppo denominato gke-security-groups nel dominio del progetto.

  3. Crea uno o più sottogruppi all'interno del gruppo gke-security-groups per l'autenticazione del cluster.

  4. Aggiungi gli utenti ai sottogruppi appena creati.

  5. Per l'accesso a kubectl utilizzando il gateway di connessione, devi concedere i ruoli IAM ai gruppi Google:

    1. Seleziona un ruolo appropriato per un gruppo. Questo ruolo determina il modo in cui il gruppo interagisce con il gateway di connessione. Il ruolo può essere uno dei seguenti: roles/gkehub.gatewayAdmin,roles/gkehub.gatewayEditor, roles/gkehub.gatewayReader. Tieni presente che qui non stai concedendo autorizzazioni per il cluster, questo passaggio verrà eseguito in un secondo momento. Qui stai solo determinando in che modo gli utenti del gruppo possono manipolare il gateway di connessione.

    2. Esegui il seguente comando per concedere il ruolo al gruppo:

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=group:GROUP_NAME@DOMAIN \
  --role=GATEWAY_ROLE

      Sostituisci quanto segue:

      • PROJECT_ID: il tuo ID progetto Google
      • GROUP_NAME: il nome del gruppo a cui concedere accesso
      • DOMAIN: il tuo dominio Google Workspace
      • GATEWAY_ROLE: il ruolo selezionato. Ad esempio, roles/gkehub.gatewayAdmin, roles/gkehub.gatewayEditor o roles/gkehub.gatewayReader.

  6. In un manifest Kubernetes, definisci le autorizzazioni di ciascun gruppo Google sul cluster. Ad esempio, il seguente manifest concede al gruppo Google cluster-admin-team il ruolo di amministratore del cluster:

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin-group
subjects:
- kind: Group
  name: cluster-admin-team@example.com
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

  7. Salva il manifest in un file e applicalo al cluster eseguendo il seguente comando:

    kubectl apply -kubeconfig=KUBECONFIG_PATH -f FILENAME

    Sostituisci quanto segue:

    • KUBECONFIG_PATH: il percorso del file kubeconfig.
    • FILENAME: il nome del file manifest che hai creato.

Una volta eseguiti questi passaggi, gli utenti appartenenti a determinati gruppi Google possono collegarsi al cluster. Nell'esempio riportato, gli utenti appartenenti al gruppo Google cluster-admin-team possono connettersi al cluster come amministratori.