עבודה עם אשכולות במסוף Google Cloud

כל האשכולות שנוספו לצי מופיעים במסוף Google Cloud .

מעבר אל GKE Clusters

Google Cloud המסוף מספק ממשק משתמש מרכזי לניהול כל אשכולות Kubernetes והמשאבים שלהם, לא משנה איפה הם פועלים. כל המשאבים מוצגים במרכז שליטה אחד, וכך אפשר לראות את עומסי העבודה בכמה אשכולות Kubernetes. מידע נוסף על עבודה עם אשכולותGoogle Cloud במסוף Google Cloud זמין בתיעוד של GKE.

באשכולות GKE ב- Google Cloud, תוכלו לראות פרטים על האשכולות, כמו צמתים ועומסי עבודה, בתנאי שיש לכם את ההרשאות הרלוונטיות. ההרשאות מפורטות בקטע הבא, תפקידים נדרשים.

אם הצי שלכם כולל אשכולות מחוץ ל- Google Cloud, אתם צריכים להתחבר לאשכולות האלה ולראות את הפרטים שלהם במסוף Google Cloud . פרטים נוספים זמינים בקטע כניסה לאשכולות.

התפקידים הנדרשים

אם אתם לא בעלי הפרויקט, אתם צריכים לפחות את התפקידים הבאים בממשק לניהול זהויות והרשאות גישה (IAM) כדי לראות את האשכולות במסוף Google Cloud :

• roles/container.viewer. התפקיד הזה מאפשר למשתמשים לצפות בדף GKE Clusters ובמשאבי קונטיינרים אחרים במסוף Google Cloud . לפרטים על ההרשאות שכלולות בתפקיד הזה, או כדי להקצות תפקיד עם הרשאות קריאה/כתיבה, אפשר לעיין במאמר תפקידים ב-Kubernetes Engine בחומרי העזר של IAM.

• ‫roles/gkehub.viewer. התפקיד הזה מאפשר למשתמשים להציג אשכולות מחוץ ל-Google Cloud במסוף. Google Cloud במאמר תפקידים ב-GKE Hub במסמכי IAM מפורטות ההרשאות שכלולות בתפקיד הזה, ומוסבר איך להעניק תפקיד עם הרשאות קריאה וכתיבה.

• ‫roles/gkeonprem.viewer. משתמשי Google Distributed Cloud צריכים את התפקיד הזה בנוסף לתפקיד roles/gkehub.viewer כדי לראות אשכולות מקומיים ב-bare metal או ב-VMware במסוף Google Cloud . לפרטים על ההרשאות שכלולות בתפקיד הזה, או כדי להעניק תפקיד עם הרשאות קריאה/כתיבה, אפשר לעיין במאמר תפקידים ב-GKE on-prem במסמכי התיעוד של IAM.

הצגת אשכולות רשומים

אחרי שרושמים אשכול ב-Fleet של הפרויקט, הוא מופיע בGoogle Cloud מסוף ברשימה GKE Clusters. עם זאת, כדי לראות פרטים נוספים כמו צמתים ועומסי עבודה בכל אשכול מחוץ ל-Google Cloud, צריך להתחבר לאשכול ולאמת אותו. אשכולות שנדרשת התחברות כדי לראות אותם מוצגים עם משולש אזהרה כתום, ומופיעה בקשה להתחברות. בדוגמה הבאה מוצג הדף Clusters של GKE עם שני אשכולות מחוץ Google Cloud שנדרשת התחברות כדי לגשת אליהם.

אחרי שמתחברים לאשכול, אפשר לבחור את האשכול ולראות את הפרטים שלו. אלה אותם פרטים שאפשר לראות לגבי אשכול GKE on Google Cloud .

כניסה לאשכולות

אם הצי שלכם כולל אשכולות מחוץ ל- Google Cloud, אדמין הפלטפורמה צריך להגדיר אימות כדי שתוכלו להיכנס לאשכולות האלה ולראות את הפרטים שלהם במסוף Google Cloud .

כדי להיכנס ל Google Cloud מסוף, צריך לדעת איזו שיטת אימות הגדיר אדמין הפלטפורמה. צריך לשאול את האדמין של הפלטפורמה אילו משיטות האימות הבאות הוגדרו:

• זהות ב-Google
• זהות של צד שלישי:
  • שירות הזהויות של GKE עם OIDC
  • שירות הזהויות של GKE עם Microsoft Entra ID‏ (Azure AD)
  • זהות של צד שלישי עם Connect gateway
• טוקן למוכ"ז

לאחר מכן, פועלים לפי ההוראות בקטעים הבאים כדי להיכנס לאשכולות באמצעות שיטת האימות הרלוונטית.

כניסה באמצעות Google Cloud הזהות

אם האשכול מוגדר לשימוש בGoogle Cloud זהות, צריך לפעול לפי השלבים הבאים כדי להיכנס:

1. פותחים את הדף GKE Clusters במסוף Google Cloud .

   מעבר אל GKE Clusters

2. מסמנים את התיבה לצד האשכולות שרוצים להתחבר אליהם. אם בוחרים כמה אשכולות:

   • כדי לבחור את כל האשכולות שמוצגים בדף, מסמנים את תיבת הסימון בשורת הכותרת של הטבלה.

   • כדי לבחור את כל האשכולות בפרויקט שלא מחוברים, בוחרים באפשרות Log in (התחברות) שמופיעה עם האזהרה שלא התחברתם למספר מסוים של אשכולות.

3. בסרגל התפריטים, לוחצים על כניסה.

4. בוחרים באפשרות שימוש בזהות שלכם ב-Google כדי להתחבר.

5. לוחצים על התחברות.

התחברות באמצעות OpenID Connect ‏ (OIDC)

שימו לב: שירות הזהויות של GKE תומך גם בספקי זהויות של LDAP, אבל כניסה באמצעות מסוף Google Cloud נתמכת רק בספקי OIDC.

אם Microsoft Entra ID ‏ (Azure AD) מוגדר כספק זהויות OIDC עבור האשכול באמצעות העוגן azuread ב-ClientConfig, צריך לפעול לפי ההוראות במאמר כניסה באמצעות Microsoft Entra ID ‏ (Azure AD).

אם האשכול שלכם מוגדר לשימוש בספק זהויות OIDC עם שירות הזהויות של GKE, אתם צריכים לפעול לפי השלבים הבאים כדי להתחבר:

1. פותחים את הדף GKE Clusters במסוף Google Cloud .

   מעבר אל GKE Clusters

2. מסמנים את התיבה לצד האשכולות שרוצים להתחבר אליהם. אם בוחרים כמה אשכולות:

   • כדי לבחור את כל האשכולות שמוצגים בדף, מסמנים את תיבת הסימון בשורת הכותרת של הטבלה.

   • כדי לבחור את כל האשכולות בפרויקט שלא מחוברים, בוחרים באפשרות Log in (התחברות) שמופיעה עם האזהרה שלא התחברתם למספר מסוים של אשכולות.

3. בסרגל התפריטים, לוחצים על כניסה.

4. בוחרים באפשרות Authenticate with identity provider configured for the cluster (אימות באמצעות ספק הזהויות שהוגדר עבור האשכול). תופנו לספק הזהויות שלכם, שבו יכול להיות שתצטרכו להיכנס לחשבון או לאשר את הגישה של מסוף Google Cloud לחשבון שלכם.

5. לוחצים על התחברות.

כניסה באמצעות Microsoft Entra ID ‏ (Azure AD)

אם האשכול שלכם מוגדר לשימוש ב-Microsoft Entra ID (Azure ID) עם GKE Identity Service באמצעות azuread anchor (שנקרא גם Azure AD advanced configuration), אתם צריכים לבצע את השלבים הבאים כדי להיכנס:

1. פותחים את הדף GKE Clusters במסוף Google Cloud .

   מעבר אל GKE Clusters

2. מסמנים את התיבה לצד האשכולות שרוצים להתחבר אליהם. אם בוחרים כמה אשכולות:

   • כדי לבחור את כל האשכולות שמוצגים בדף, מסמנים את תיבת הסימון בשורת הכותרת של הטבלה.

   • כדי לבחור את כל האשכולות בפרויקט שלא מחוברים, בוחרים באפשרות Log in (התחברות) שמופיעה עם האזהרה שלא התחברתם למספר מסוים של אשכולות.

3. בסרגל התפריטים, לוחצים על כניסה.

4. בוחרים באפשרות אימות באמצעות Microsoft Entra ID (לשעבר Azure AD). תופנו לספק הזהויות שלכם, שבו יכול להיות שתצטרכו להיכנס לחשבון או לאשר את הגישה של מסוף Google Cloud לחשבון שלכם.

5. לוחצים על התחברות.

כניסה באמצעות זהות של צד שלישי ו-Connect gateway

אם האשכול שלכם מוגדר לשימוש בזהות של צד שלישי עם שער Connect, אתם יכולים להיכנס לאשכול עם הזהות של הצד השלישי במסוף איחוד שירותי אימות הזהות של כוח העבודה ב-Google Cloud , שנקרא גם המסוף (מאוחד). התחברות מהמסוף הרגיל Google Cloud אינה נתמכת.

כדי להתחבר:

1. עוברים אל Google Cloud מסוף איחוד שירותי אימות הזהות של כוח עבודה, מזינים את מזהה הספק ונכנסים באמצעות ספק הזהויות. מנהל הפלטפורמה אמור לספק לכם את כל הפרטים שדרושים לכניסה. מידע נוסף על ההגדרה הזו זמין במאמר הגדרת גישת משתמשים למסוף (מאוחד).

2. פותחים את הדף GKE Clusters במסוף Google Cloud .

   מעבר אל GKE Clusters

3. מסמנים את התיבה לצד האשכולות שרוצים להתחבר אליהם. אם בוחרים כמה אשכולות:

   • כדי לבחור את כל האשכולות שמוצגים בדף, מסמנים את תיבת הסימון בשורת הכותרת של הטבלה.

   • כדי לבחור את כל האשכולות בפרויקט שלא מחוברים, בוחרים באפשרות Log in (התחברות) שמופיעה עם האזהרה שלא התחברתם למספר מסוים של אשכולות.

4. בסרגל התפריטים, לוחצים על כניסה.

5. בוחרים באפשרות שימוש בספק הזהויות מצד שלישי כדי להיכנס.

6. לוחצים על התחברות.

כניסה באמצעות אסימון Bearer

אם האשכול מוגדר לשימוש באסימון bearer של חשבון שירות של Kubernetes, פועלים לפי השלבים הבאים:

1. פותחים את הדף GKE Clusters במסוף Google Cloud .

   מעבר אל GKE Clusters

2. מסמנים את התיבה לצד האשכולות שרוצים להתחבר אליהם. אם בוחרים כמה אשכולות:

   • כדי לבחור את כל האשכולות שמוצגים בדף, מסמנים את תיבת הסימון בשורת הכותרת של הטבלה.

   • כדי לבחור את כל האשכולות בפרויקט שלא מחוברים, בוחרים באפשרות Log in (התחברות) שמופיעה עם האזהרה שלא התחברתם למספר מסוים של אשכולות.

3. בסרגל התפריטים, לוחצים על כניסה.

4. בוחרים באפשרות אסימון וממלאים את השדה אסימון באסימון ה-bearer של KSA.

5. לוחצים על התחברות.

ביצוע בקרה

גישות דרך מסוף Google Cloud מתועדות ביומן הביקורת בשרת ה-API של האשכול.

המאמרים הבאים

למידע נוסף על:

• עבודה עם אשכולות במסוף Google Cloud בתיעוד של GKE
• הצגת סטטוס האשכול וניצול המשאבים במסוף באמצעות הסקירה הכללית של GKE Enterprise Google Cloud
• הגדרת אימות לאשכולות של צי הרכבים במאמר אבטחת צי הרכבים

• התחברות לאשכולות של צי מכונות משורת הפקודה:

  • הגדרת שער Connect
  • גישה לאשכולות באמצעות שירות הזהויות של GKE

• ניהול תכונות ברמת הצי