Bei Projekten anmelden

Auf dieser Seite wird beschrieben, wie Sie auf Ihre Arbeitslasten und Ressourcen in Google Distributed Cloud (GDC) mit Air Gap zugreifen und sie verwalten. Außerdem wird beschrieben, wie Sie sich authentifizieren, kubeconfig-Dateien für zonale und globale Ressourcen generieren und die Inaktivität von Sitzungen verwalten. Wenn Sie diese Prozesse verstehen, können Sie sicher und zuverlässig auf Ihre Projekte und Arbeitslasten zugreifen.

Diese Seite richtet sich an Nutzer in der Gruppe der Plattformadministratoren (z. B. IT-Administratoren) oder der Gruppe der Anwendungsoperatoren (z. B. Anwendungsentwickler), die GDC-Ressourcen verwenden möchten. Weitere Informationen finden Sie unter Dokumentation zu Zielgruppen für GDC mit Air Gap.

Sie können über die GDC Console, die gdcloud CLI oder die kubectl CLI auf Arbeitslasten zugreifen.

Konto für den Zugriff authentifizieren

So melden Sie sich in der GDC Console oder in einem Cluster an:

Console

Öffnen Sie die folgende URL in einem neuen Browsertab, um auf die Distributed Cloud-Benutzeroberfläche zuzugreifen:

https://GDC_URL

Ersetzen Sie GDC_URL durch den Domainnamen, den Sie für den Zugriff auf Distributed Cloud verwenden und den der Infrastrukturbetreiber bereitstellt. Wenn Sie eine URL zum ersten Mal öffnen, werden Sie von Distributed Cloud zur Anmeldeseite Ihres Identitätsanbieters weitergeleitet, sofern der Infrastrukturbetreiber die Seite konfiguriert hat.

Die folgende Abbildung zeigt die Anmeldung in der Console-Benutzeroberfläche für eine Organisation namens org-1:

Console-UI mit dem Begrüßungsbildschirm für das Projekt „org-1“

CLI

Wenn Sie sich in der gdcloud CLI anmelden, verwenden Sie den gdcloud auth login Befehl um einen Prinzipal in der gdcloud CLI zu authentifizieren. Die gdcloud CLI verwendet diesen Prinzipal für die Authentifizierung und Autorisierung, um Google Cloud Ressourcen und Dienste zu verwalten.

Bevor Sie sich anmelden, müssen Sie Folgendes tun:

  • Laden Sie die gdcloud CLI-Binärdatei herunter und installieren Sie sie auf Ihrem System. Weitere Informationen finden Sie unter gdcloud CLI herunterladen.
  • Richten Sie die Standardkonfiguration der gdcloud CLI ein und initialisieren Sie sie. Achten Sie darauf, die richtige Organisations-URL festzulegen, die zum Abrufen des Endpunkts für die Anmeldekonfiguration verwendet wird. Weitere Informationen finden Sie unter gdcloud CLI installieren.
  • Installieren Sie das Authentifizierungs-Plug-in gdcloud-k8s-auth-plugin. Weitere Informationen finden Sie unter gdcloud CLI-Authentifizierung.

So melden Sie sich bei einem Management API-Server oder Kubernetes-Cluster an:

  • Management API-Server:

  1. Exportieren Sie den Pfad, in dem Sie die kubeconfig-Datei des Management API-Servers speichern möchten:

    export KUBECONFIG=MANAGEMENT_API_SERVER

    Ersetzen Sie MANAGEMENT_API_SERVER durch den Pfad zum Verzeichnis, in dem die kubeconfig-Datei gespeichert werden soll.

  2. Authentifizieren Sie Ihre gdcloud CLI-Instanz, um sich anzumelden. Es gibt zwei Möglichkeiten zur Authentifizierung:

    • Standardmäßige Browseranmeldung:Verwenden Sie diesen Authentifizierungsablauf, wenn Sie sich über einen Browser anmelden.

      gdcloud auth login

    • Anmeldung über ein sekundäres Gerät:Verwenden Sie diesen Authentifizierungsablauf, wenn auf Ihrem Hauptgerät kein Browser verfügbar ist. Bei diesem Ablauf wird die Anmeldung auf dem Hauptgerät ohne Browserzugriff gestartet und auf dem sekundären Gerät mit Browserzugriff fortgesetzt.

      Starten Sie die Anmeldung auf Ihrem Hauptgerät ohne Browser:

      gdcloud auth login --no-browser

      Die Umgebungsvariable KUBECONFIG wird mit den kubeconfig-Dateien für alle API-Server und Cluster in der Organisation aktualisiert. Wenn die Variable KUBECONFIG nicht festgelegt ist, verwendet die kubectl CLI die kubeconfig-Standarddatei, die unter $HOME/.kube/config gespeichert ist.

      Wenn Sie die kubeconfig-Dateien nicht bearbeiten möchten, fügen Sie dem Befehl das Flag --skip-kubeconfig-update hinzu. Beispiel:

      gdcloud auth login --no-browser --skip-kubeconfig-update

      Kopieren Sie die Ausgabe des gdcloud CLI-Befehls und führen Sie sie auf einem Computer mit Browserzugriff aus.

  3. Folgen Sie der Anleitung auf der Webseite, um die Anmeldung abzuschließen.

    Nachdem Sie sich erfolgreich angemeldet haben, wird im Browser die Meldung Authentication successful. Please close this window angezeigt.

  4. Folgen Sie der Anleitung im Terminal. Nach erfolgreicher Anmeldung wird im Terminal die Meldung You are now logged in angezeigt.

  • Kubernetes-Cluster:

  1. Authentifizieren Sie Ihre gdcloud CLI-Instanz, um sich anzumelden. Es gibt zwei Möglichkeiten zur Authentifizierung:

    • Standardmäßige Browseranmeldung:Verwenden Sie diesen Authentifizierungsablauf, wenn Sie sich über einen Browser anmelden.

      gdcloud auth login

    • Anmeldung über ein sekundäres Gerät:Verwenden Sie diesen Authentifizierungsablauf, wenn auf Ihrem Hauptgerät kein Browser verfügbar ist. Bei diesem Ablauf wird die Anmeldung auf dem Hauptgerät ohne Browserzugriff gestartet und auf dem sekundären Gerät mit Browserzugriff fortgesetzt.

      1. Starten Sie die Anmeldung auf Ihrem Hauptgerät ohne Browser:

        gdcloud auth login --no-browser

        Der Befehl auf dem Hauptgerät gibt einen weiteren gdcloud-Befehl aus, den Sie in Schritt c auf dem sekundären Gerät ausführen müssen.

      2. Wiederholen Sie Schritt 1, um das Zertifikat auf das sekundäre Gerät herunterzuladen.

      3. Schließen Sie die Anmeldung auf dem sekundären Gerät ab, indem Sie den Befehl eingeben, der in Schritt a auf dem Hauptgerät ausgegeben wurde.

    Dadurch wird ein Browser geöffnet, in dem Sie sich beim konfigurierten Identitätsanbieter anmelden können. Geben Sie den Nutzernamen und das Passwort ein, die Sie bei der ersten Einrichtung der gdcloud CLI festgelegt haben, um sich anzumelden.

  2. Exportieren Sie die kubeconfig-Datei Ihrer Nutzeridentität als Variable:

    export KUBECONFIG=/tmp/CLUSTER_NAME-ZONE-kubeconfig-with-user-identity.yaml

  3. Generieren Sie eine kubeconfig-Datei für einen zonalen Cluster mit Ihrer Nutzeridentität:

    gdcloud clusters get-credentials CLUSTER_NAME --zone ZONE

    Ersetzen Sie ZONE durch den Zonennamen.

    Eine kubeconfig-Datei wird mit Ihrer Nutzeridentität generiert. Die folgende YAML-Datei zeigt ein Beispiel:

    apiVersion: v1
clusters:
- cluster:
  certificate-authority-data: <REDACTED>
  server: https://10.200.0.32:443
name: cluster-name
contexts:
- context:
  cluster: cluster-name
  user: cluster-name-anthos-default-user
name: cluster-name-cluster-name-anthos-default-user
current-context: cluster-name-cluster-name-anthos-default-user
kind: Config
preferences: {}
users:
- name: cluster-name-anthos-default-user
user:
  exec:
    apiVersion: client.authentication.k8s.io/v1
    args:
    - --audience=root-admin
    command: gdcloud-k8s-auth-plugin
    env: null
    installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use plugin
    interactiveMode: Never
    provideClusterInfo: false

  4. Wenn Sie prüfen möchten, ob Sie auf den Cluster zugreifen können, melden Sie sich mit der generierten kubeconfig-Datei mit einer Nutzeridentität an:

    kubectl --kubeconfig /tmp/admin-kubeconfig-with-user-identity.yaml version

Abmelden

So melden Sie sich von der GDC Console ab:

Console

Klicken Sie in der Menüleiste auf Abmelden.

CLI

So melden Sie sich von der Befehlszeile ab:

gdcloud auth revoke

kubeconfig-Datei manuell generieren

Wenn Sie Ressourcen mit der kubectl CLI verwalten, indem Sie KRM APIs direkt aufrufen, müssen Sie die kubeconfig-Datei für den Cluster oder API-Server generieren, der Ihre Ressource hostet. Das hängt vom Ressourcentyp ab, den Sie verwalten.

Sie müssen auch die Konfiguration Ihres GDC-Universums kennen, um die Zonen zu bestimmen, in denen Sie Ihre zonalen Ressourcen bereitstellen möchten, oder den globalen API-Server für globale Ressourcen. Weitere Informationen finden Sie unter Globale und zonale API-Server.

Bestimmen Sie, ob die Ressource, die Sie bearbeiten, eine globale oder zonale Ressource ist. Wenn Sie sich nicht sicher sind, finden Sie in der entsprechenden Dokumentation zur Ressource weitere Informationen.

Führen Sie die entsprechende Einrichtung basierend auf Ihrem Ressourcentyp aus.

Zonale Management API-Serverressourcen

Führen Sie die folgenden Schritte aus, um die kubeconfig-Datei für den zonalen Management API-Server zu generieren:

  1. Alle verfügbaren Zonen ansehen:

    gdcloud zones list

    Notieren Sie sich den Namen der Zone, in der sich Ihre benutzerdefinierte Ressource befindet.

  2. Legen Sie die Umgebungsvariable ZONE auf die Zone fest, in der sich Ihre zonalen Ressourcen befinden:

    export ZONE="ZONE"

    Ersetzen Sie ZONE durch den Zonennamen.

  3. Legen Sie die Umgebungsvariable MANAGEMENT_API_SERVER fest:

    export MANAGEMENT_API_SERVER="ORG_NAME-admin"

    Ersetzen Sie ORG_NAME durch den Namen Ihrer Organisation, z. B. org-1.

  4. Generieren Sie die kubeconfig-Datei des Management API-Servers für die Zielzone und validieren Sie die Anmeldedaten:

    export KUBECONFIG=${HOME}/${MANAGEMENT_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${MANAGEMENT_API_SERVER:?} --zone ${ZONE:?}
[[ $(kubectl config current-context) == *${MANAGEMENT_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    Mit dem Befehl rm ${KUBECONFIG:?} wird die vorhandene kubeconfig-Datei im Home-Verzeichnis entfernt. Wenn Sie eine neue kubeconfig-Datei generieren, wird die vorhandene Datei überschrieben. Wenn Sie die vorhandene Datei nicht überschreiben oder entfernen möchten, sichern Sie sie an einem anderen sicheren Ort.

Zonale Kubernetes-Clusterressourcen

Führen Sie die folgenden Schritte aus, um die kubeconfig-Datei für den zonalen Kubernetes-Cluster zu generieren:

  1. Alle verfügbaren Zonen ansehen:

    gdcloud zones list

    Notieren Sie sich den Namen der Zone, in der sich Ihre benutzerdefinierte Ressource befindet.

  2. Legen Sie die Umgebungsvariable ZONE auf die Zone fest, in der sich Ihr Kubernetes-Cluster befindet:

    export ZONE="ZONE"

    Ersetzen Sie ZONE durch den Zonennamen.

  3. Legen Sie die Umgebungsvariable KUBERNETES_CLUSTER fest:

    export KUBERNETES_CLUSTER="KUBERNETES_CLUSTER_NAME"

    Ersetzen Sie KUBERNETES_CLUSTER_NAME durch den Namen Ihres Kubernetes-Clusters.

  4. Generieren Sie die kubeconfig-Datei des Kubernetes-Clusters für die Zielzonenvariable und validieren Sie die Anmeldedaten:

    export KUBECONFIG=${HOME}/${KUBERNETES_CLUSTER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${KUBERNETES_CLUSTER:?} --zone ${ZONE:?}
[[ $(kubectl config current-context) == *${KUBERNETES_CLUSTER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    Mit dem Befehl rm ${KUBECONFIG:?} wird die vorhandene kubeconfig-Datei im Home-Verzeichnis entfernt. Wenn Sie eine neue kubeconfig-Datei generieren, wird die vorhandene Datei überschrieben. Wenn Sie die vorhandene Datei nicht überschreiben oder entfernen möchten, sichern Sie sie an einem anderen sicheren Ort.

Globale API-Serverressourcen

Führen Sie die folgenden Schritte aus, um die kubeconfig-Datei für den globalen API-Server zu generieren:

  1. Legen Sie die Umgebungsvariable GLOBAL_API_SERVER fest:

    export GLOBAL_API_SERVER="global-api"

  2. Generieren Sie die kubeconfig-Datei des globalen API-Servers und validieren Sie die Anmeldedaten:

    export KUBECONFIG=${HOME}/${GLOBAL_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${GLOBAL_API_SERVER:?}
[[ $(kubectl config current-context) == *${GLOBAL_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    Mit dem Befehl rm ${KUBECONFIG:?} wird die vorhandene kubeconfig-Datei im Home-Verzeichnis entfernt. Wenn Sie eine neue kubeconfig-Datei generieren, wird die vorhandene Datei überschrieben. Wenn Sie die vorhandene Datei nicht überschreiben oder entfernen möchten, sichern Sie sie an einem anderen sicheren Ort.

Abmeldung bei Inaktivität der Sitzung

Nach 15 oder mehr Minuten Inaktivität in einer Sitzung werden Sie von der GDC Console und der gdcloud CLI abgemeldet. In Distributed Cloud gilt eine Sitzung als inaktiv, wenn während einer offenen Sitzung keine aktive Interaktion von Ihnen erfolgt, z. B. keine Cursor- oder Tastaturbewegungen. Eine aktive Sitzung dauert bei Nutzeraktivität bis zu 12 Stunden.

Console

Bei Inaktivität der Sitzung werden Sie von der GDC Console abgemeldet. Zwei Minuten bevor Sie von der GDC Console aufgrund von Inaktivität abgemeldet werden, wird ein Dialogfeld angezeigt, in dem Sie vor der Abmeldung gewarnt werden:

Die Console-Benutzeroberfläche zeigt ein Dialogfeld mit einem Timer von 99 Sekunden an, bevor der Nutzer aufgrund von Inaktivität abgemeldet wird.

Nachdem Sie aufgrund von Inaktivität abgemeldet wurden, wird der folgende Bildschirm angezeigt:

Die Console-Benutzeroberfläche zeigt den Anmeldebildschirm mit einem Banner an, das Text zur Abmeldung aus der Sitzung enthält: „Sie wurden vom System abgemeldet, weil Ihre Sitzung zu lange inaktiv war. Melden Sie sich noch einmal an oder wenden Sie sich an Ihren Administrator.“

Wenn Sie sich wieder in der GDC Console anmelden möchten, wählen Sie Ihren Identitätsanbieter aus und geben Sie Ihre Anmeldedaten ein. Wenn Sie einen Dienst wie das Monitoring-Dashboard verwenden und Sie von der GDC Console aufgrund von Inaktivität abgemeldet werden, melden Sie sich wieder an, um Zugriff zu erhalten.

gdcloud

Bei Inaktivität der Sitzung werden Sie von der gdcloud CLI abgemeldet. Wenn Sie nach der Abmeldung durch die gdcloud CLI versuchen, einen Befehl auszuführen, wird ein Autorisierungsfehler angezeigt:

Error: error when creating kube client: unable to create k8sclient: Unauthorized

Wenn Sie sich wieder in GDC anmelden möchten, folgen Sie der Anleitung unter Anmelden.

Wenn Sie sich über einen Management API-Server wieder in GDC anmelden, wird Ihre kubeconfig-Datei automatisch aktualisiert. Wenn Sie nicht möchten, dass Ihre kubeconfig-Datei aktualisiert wird, verwenden Sie das Flag --skip-kubeconfig-update im Befehl gdcloud auth login.

kubectl

Die gdcloud CLI lässt Ihre kubeconfig-Dateien nach Inaktivität der Sitzung ablaufen. Wenn Sie nach Inaktivität versuchen, einen kubectl-Befehl auszuführen, wird ein Autorisierungsfehler angezeigt:

error: You must be logged in to the server (Unauthorized)

Wenn Sie sich wieder anmelden und Ihre kubeconfig-Datei verwenden möchten, folgen Sie der Anleitung unter Anmelden. Bei jedem Sitzungs-Timeout müssen Sie Ihre kubeconfig-Dateien neu generieren.