Iniciar sessão

Esta página aborda como aceder e gerir as suas cargas de trabalho e recursos no dispositivo isolado do Google Distributed Cloud (GDC). Descreve como autenticar, gerar ficheiros kubeconfig para um servidor da API Management e um cluster Kubernetes, e gerir a inatividade da sessão. A compreensão destes processos garante um acesso seguro e fiável aos seus projetos e cargas de trabalho.

Aceda às suas cargas de trabalho através da consola do GDC ou da CLI gdcloud.

Iniciar sessão

Para iniciar sessão na consola GDC ou num cluster, siga os passos abaixo:

Consola

Abra o seguinte URL num novo separador do navegador para aceder à interface do utilizador (IU) do dispositivo isolado do GDC:

https://GDC_URL

Substitua GDC_URL pelo nome do domínio que usa para aceder ao GDC fornecido pelo operador de infraestrutura (IO). Quando abre qualquer URL pela primeira vez, o GDC redireciona para a página de início de sessão do fornecedor de identidade se o operador de infraestrutura (IO) tiver configurado a página.

Por exemplo, a página seguinte é apresentada depois de iniciar sessão na consola para uma organização denominada `org-1: Consola a apresentar o ecrã de boas-vindas do projeto org-1.

CLI

Pode iniciar sessão em qualquer cluster ao qual tenha autorização de acesso. O processo de início de sessão da CLI para todos os clusters é o mesmo. Só tem de indicar o nome do cluster e o respetivo ficheiro kubeconfig, e iniciar sessão separadamente em cada cluster.

Antes de iniciar sessão, certifique-se de que faz o seguinte:

  • Transfira o ficheiro binário da CLI gcloud e instale-o no seu sistema. Para mais informações, consulte o artigo Transfira a CLI gcloud.
  • Configure e inicialize a configuração predefinida da CLI gcloud. Certifique-se de que define o URL da organização correto, que é usado para obter o ponto final de configuração de início de sessão. Para mais informações, consulte o artigo Instalação da CLI gcloud.
  • Instale o plug-in de autenticação gdcloud-k8s-auth-plugin. Para mais informações, consulte o artigo Autenticação da CLI gcloud.

Para iniciar sessão num cluster, conclua os seguintes passos:

  1. Autentique a sua instância da CLI gcloud para iniciar sessão. Existem duas formas de autenticação:

    • Início de sessão no navegador padrão: use este fluxo de autenticação quando iniciar sessão a partir de um navegador.

      gdcloud auth login

    • Início de sessão no dispositivo secundário: use este fluxo de autenticação se o seu dispositivo principal não tiver um navegador disponível. Este fluxo inicia o início de sessão no dispositivo principal sem acesso ao navegador e continua o início de sessão com o dispositivo secundário que tem acesso ao navegador.

      1. Inicie a sessão no seu dispositivo principal sem navegador:

        gdcloud auth login --no-browser

        O comando no dispositivo principal imprime outro comando gdcloud que tem de executar no dispositivo secundário no passo c.

      2. Repita o passo 1 de Inicie sessão num cluster para transferir o certificado no dispositivo secundário.

      3. Conclua o início de sessão no dispositivo secundário introduzindo o comando impresso no dispositivo principal no passo a.

    Esta ação abre um navegador para iniciar sessão no fornecedor de identidade (IdP) configurado. Indique o nome de utilizador e a palavra-passe que definiu durante a configuração inicial da CLI gdcloud para iniciar sessão.

  2. Exporte o ficheiro kubeconfig de identidade do utilizador como uma variável:

    export KUBECONFIG=/tmp/admin-kubeconfig-with-user-identity.yaml

  3. Gere um ficheiro kubeconfig com a sua identidade de utilizador:

    gdcloud clusters get-credentials CLUSTER_NAME

    É gerado um ficheiro kubeconfig com a sua identidade de utilizador. O ficheiro YAML seguinte mostra um exemplo:

    apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: <REDACTED>
    server: https://10.200.0.32:443
  name: cluster-name
contexts:
- context:
    cluster: cluster-name
    user: cluster-name-anthos-default-user
  name: cluster-name-cluster-name-anthos-default-user
current-context: cluster-name-cluster-name-anthos-default-user
kind: Config
preferences: {}
users:
- name: cluster-name-anthos-default-user
  user:
    exec:
        apiVersion: client.authentication.k8s.io/v1
        args:
        - --audience=root-admin
        command: gdcloud-k8s-auth-plugin
        env: null
        installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use plugin
        interactiveMode: Never
        provideClusterInfo: false

  4. Para verificar se consegue aceder ao cluster, inicie sessão com o ficheiro kubeconfig gerado com uma identidade de utilizador:

    kubectl --kubeconfig /tmp/admin-kubeconfig-with-user-identity.yaml version

Terminar sessão

Para terminar sessão na consola GDC, faça o seguinte:

Consola

Clique em Terminar sessão na barra de menu.

CLI

Termine sessão na CLI:

gdcloud auth revoke

Gere manualmente o ficheiro kubeconfig

Se estiver a gerir recursos com a CLI kubectl chamando diretamente as APIs KRM, tem de gerar o ficheiro kubeconfig para o cluster que aloja o seu recurso, consoante o tipo de recurso que está a gerir. Visite a documentação do recurso para determinar o ficheiro kubeconfig de que precisa.

Conclua a configuração aplicável com base no tipo de recurso.

Recursos do servidor da API Management

Conclua os passos seguintes para gerar o ficheiro kubeconfig para o servidor da API Management:

  1. Defina a variável de ambiente MANAGEMENT_API_SERVER:

    export MANAGEMENT_API_SERVER="root-admin"

  2. Gere o ficheiro kubeconfig do servidor da API de gestão e valide as credenciais:

    export KUBECONFIG=${HOME}/${MANAGEMENT_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${MANAGEMENT_API_SERVER:?}
[[ $(kubectl config current-context) == *${MANAGEMENT_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    O comando rm ${KUBECONFIG:?} remove o ficheiro kubeconfig existente no diretório inicial. Quando gera um novo ficheiro kubeconfig, este substitui o ficheiro existente. Se não quiser substituir nem remover o ficheiro existente, faça uma cópia de segurança noutra localização segura.

Recursos do cluster do Kubernetes

Conclua os passos seguintes para gerar o ficheiro kubeconfig para o cluster do Kubernetes bare metal:

  1. Defina a variável de ambiente KUBERNETES_CLUSTER:

    export KUBERNETES_CLUSTER="root-infra"

  2. Gere o ficheiro kubeconfig do cluster Kubernetes e valide as credenciais:

    export KUBECONFIG=${HOME}/${KUBERNETES_CLUSTER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${KUBERNETES_CLUSTER:?}
[[ $(kubectl config current-context) == *${KUBERNETES_CLUSTER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    O comando rm ${KUBECONFIG:?} remove o ficheiro kubeconfig existente no diretório inicial. Quando gera um novo ficheiro kubeconfig, este substitui o ficheiro existente. Se não quiser substituir nem remover o ficheiro existente, faça uma cópia de segurança noutra localização segura.

Terminar sessão por inatividade

Após quinze ou mais minutos de inatividade numa sessão, a consola do GDC e a CLI gdcloud terminam a sessão. O GDC considera a inatividade da sessão como um período durante uma sessão aberta sem interação ativa da sua parte, como nenhum movimento do cursor ou do teclado. Uma sessão ativa dura até doze horas com atividade do utilizador.

Consola

No caso de inatividade da sessão, a consola do GDC termina a sua sessão. Dois minutos antes de a consola GDC terminar a sessão por inatividade, recebe uma caixa de diálogo que o avisa da terminação da sessão:

IU da consola a mostrar uma caixa de diálogo com um temporizador de 99 segundos antes de terminar a sessão do utilizador por inatividade.

Depois de terminar a sessão por inatividade, vê o seguinte ecrã:

A IU da consola mostra o ecrã de início de sessão com uma faixa que contém texto sobre o fim de sessão: &quot;A sua sessão foi terminada porque ficou inativa durante demasiado tempo. Inicie sessão novamente ou contacte o administrador para receber assistência.&quot;

Para iniciar sessão novamente na consola GDC, selecione o seu fornecedor de identidade e adicione as suas credenciais de início de sessão. Se usar um serviço, como o painel de controlo de monitorização, e a consola do GDC terminar a sessão por inatividade, inicie sessão novamente para aceder.

CLI

No caso de inatividade da sessão, a CLI gcloud termina a sessão. Depois de a CLI gdcloud terminar a sessão e tentar executar um comando, recebe um erro de autorização:

Error: error when creating kube client: unable to create k8sclient: Unauthorized

Para iniciar sessão novamente na CLI gcloud, siga os passos da CLI em Iniciar sessão.

kubectl

A CLI gdcloud faz expirar os seus ficheiros kubeconfig após a inatividade da sessão. Se tentar executar um comando kubectl após um período de inatividade, recebe um erro de autorização:

error: You must be logged in to the server (Unauthorized)

Para iniciar sessão novamente e usar o ficheiro kubeconfig, siga os passos da CLI em Iniciar sessão. Para cada limite de tempo de sessão, tem de regenerar os ficheiros kubeconfig.

Monitorize as atividades de início de sessão e de novos utilizadores

As atividades, como iniciar sessão, são exportadas como registos de auditoria. Para mais informações sobre como ver registos de auditoria, consulte o artigo Registos de auditoria.