Accede a los proyectos

En esta página, se explica cómo acceder a tus cargas de trabajo y recursos, y cómo administrarlos en Google Distributed Cloud (GDC) aislado. Se describe cómo autenticar, generar archivos kubeconfig para recursos zonales y globales, y administrar la inactividad de la sesión. Comprender estos procesos garantiza un acceso seguro y confiable a tus proyectos y cargas de trabajo.

Esta página está destinada a públicos dentro del grupo de administradores de plataformas (como administradores de TI) o del grupo de operadores de aplicaciones (como desarrolladores de aplicaciones) que desean usar recursos de GDC. Para obtener más información, consulta Públicos de la documentación de Google Distributed Cloud aislado.

Puedes acceder a las cargas de trabajo con la consola de GDC, la CLI de gdcloud o la CLI de kubectl.

Autentica tu cuenta para acceder

Para acceder a la consola de GDC o a un clúster, sigue estos pasos:

Console

Abre la siguiente URL en una nueva pestaña del navegador para acceder a la interfaz de usuario (IU) de Distributed Cloud:

https://GDC_URL

Reemplaza GDC_URL por el nombre de dominio que usas para acceder a Distributed Cloud que proporciona el operador de infraestructura (IO). Cuando abres cualquier URL por primera vez, Distributed Cloud te redirecciona a la página de acceso de tu proveedor de identidad si el operador de infraestructura (IO) configuró la página.

Por ejemplo, en la siguiente imagen, se accede a la IU de la consola de una organización llamada org-1:

IU de la consola que muestra la pantalla de bienvenida del proyecto org-1.

CLI

Cuando accedes a la CLI de gdcloud, usa el gdcloud auth login comando para autenticar una principal en la CLI de gdcloud. La CLI de gdcloud usa ese principal para la autenticación y autorización para administrar Google Cloud recursos y servicios.

Antes de acceder, asegúrate de hacer lo siguiente:

  • Descarga el objeto binario de la CLI de gdcloud y, luego, instálalo en tu sistema. Para obtener más información, consulta Descarga la CLI de gdcloud.
  • Configura e inicializa la configuración predeterminada de la CLI de gdcloud. Asegúrate de establecer la URL correcta de la organización, que se usa para recuperar el extremo de configuración de acceso. Para obtener más información, consulta Instalación de la CLI de gdcloud.
  • Instala el complemento de autenticación gdcloud-k8s-auth-plugin. Para obtener más información, consulta Autenticación de la CLI de gdcloud.

Para acceder a un servidor de la API de Management o a un clúster de Kubernetes, completa los siguientes pasos:

  • Servidor de la API de Management:

  1. Exporta la ruta de acceso en la que deseas almacenar el archivo kubeconfig del servidor de la API de Management:

    export KUBECONFIG=MANAGEMENT_API_SERVER

    Reemplaza MANAGEMENT_API_SERVER por la ruta de acceso al directorio en el que se almacenará el archivo kubeconfig.

  2. Autentica tu instancia de la CLI de gdcloud para acceder. Existen dos formas de autenticar:

    • Acceso estándar al navegador: Usa este flujo de autenticación cuando accedas desde un navegador.

      gdcloud auth login

    • Acceso al dispositivo secundario: Usa este flujo de autenticación si tu dispositivo principal no tiene un navegador disponible. Este flujo inicia el acceso en el dispositivo principal sin acceso al navegador y continúa el acceso con el dispositivo secundario que tiene acceso al navegador.

      Inicia el acceso en tu dispositivo principal sin navegador:

      gdcloud auth login --no-browser

      La variable de entorno KUBECONFIG se actualiza con los archivos kubeconfig para todos los servidores de la API y clústeres de la organización. Si no se establece la variable KUBECONFIG, la CLI de kubectl usa el archivo kubeconfig predeterminado almacenado en $HOME/.kube/config.

      Para omitir la edición de los archivos kubeconfig, agrega la marca --skip-kubeconfig-update a tu comando. Por ejemplo:

      gdcloud auth login --no-browser --skip-kubeconfig-update

      Copia el resultado del comando de la CLI de gdcloud que se imprime y ejecútalo en una máquina con acceso al navegador.

  3. Sigue las instrucciones de la página web para completar el proceso de acceso.

    Cuando se complete el acceso correctamente, el navegador mostrará el mensaje Authentication successful. Please close this window.

  4. Sigue las instrucciones de la terminal. Cuando se complete el acceso correctamente, la terminal mostrará el siguiente mensaje: You are now logged in.

  • Clúster de Kubernetes:

  1. Autentica tu instancia de la CLI de gdcloud para acceder. Existen dos formas de autenticar:

    • Acceso estándar al navegador: Usa este flujo de autenticación cuando accedas desde un navegador.

      gdcloud auth login

    • Acceso al dispositivo secundario: Usa este flujo de autenticación si tu dispositivo principal no tiene un navegador disponible. Este flujo inicia el acceso en el dispositivo principal sin acceso al navegador y continúa el acceso con el dispositivo secundario que tiene acceso al navegador.

      1. Inicia el acceso en tu dispositivo principal sin navegador:

        gdcloud auth login --no-browser

        El comando en el dispositivo principal imprime otro comando gdcloud que debes ejecutar en el dispositivo secundario en el paso c.

      2. Repite el paso 1 para descargar el certificado en el dispositivo secundario.

      3. Para completar el acceso en el dispositivo secundario, ingresa el comando que se imprimió en el dispositivo principal en el paso a.

    Esta acción abre un navegador para acceder al proveedor de identidad (IdP) configurado. Proporciona el usuario y la contraseña que estableciste durante la configuración inicial de la CLI de gdcloud para acceder.

  2. Exporta tu archivo kubeconfig de identidad de usuario como una variable:

    export KUBECONFIG=/tmp/CLUSTER_NAME-ZONE-kubeconfig-with-user-identity.yaml

  3. Genera un archivo kubeconfig para un clúster zonal con tu identidad de usuario:

    gdcloud clusters get-credentials CLUSTER_NAME --zone ZONE

    Reemplaza ZONE por el nombre de la zona.

    Se genera un archivo kubeconfig con tu identidad de usuario. En el siguiente archivo YAML, se muestra un ejemplo:

    apiVersion: v1
clusters:
- cluster:
  certificate-authority-data: <REDACTED>
  server: https://10.200.0.32:443
name: cluster-name
contexts:
- context:
  cluster: cluster-name
  user: cluster-name-anthos-default-user
name: cluster-name-cluster-name-anthos-default-user
current-context: cluster-name-cluster-name-anthos-default-user
kind: Config
preferences: {}
users:
- name: cluster-name-anthos-default-user
user:
  exec:
    apiVersion: client.authentication.k8s.io/v1
    args:
    - --audience=root-admin
    command: gdcloud-k8s-auth-plugin
    env: null
    installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use plugin
    interactiveMode: Never
    provideClusterInfo: false

  4. Para verificar que puedes acceder al clúster, accede con el archivo kubeconfig generado con una identidad de usuario:

    kubectl --kubeconfig /tmp/admin-kubeconfig-with-user-identity.yaml version

Salir

Para salir de la consola de GDC, haz lo siguiente:

Console

Haz clic en Logout en la barra de menú.

CLI

Sal de la CLI:

gdcloud auth revoke

Genera el archivo kubeconfig de forma manual

Si administras recursos con la CLI de kubectl llamando directamente a las APIs de KRM, debes generar el archivo kubeconfig para el clúster o el servidor de la API que aloja tu recurso, según el tipo de recurso que administres.

También debes conocer la configuración de tu universo de GDC para determinar las zonas en las que deseas implementar tus recursos zonales o el servidor de la API global para los recursos globales. Para obtener más información, consulta Servidores de la API globales y zonales.

Determina si el recurso que manipulas es un recurso global o zonal. Si no estás seguro, visita la documentación dedicada del recurso para obtener ayuda.

Completa la configuración aplicable según el tipo de recurso.

Recursos del servidor de la API de Management zonal

Completa los siguientes pasos para generar tu archivo kubeconfig para el servidor de la API de Management zonal:

  1. Visualiza todas las zonas disponibles:

    gdcloud zones list

    Anota el nombre de la zona que aloja tu recurso personalizado.

  2. Establece la variable de entorno ZONE en la zona que aloja tus recursos zonales:

    export ZONE="ZONE"

    Reemplaza ZONE por el nombre de la zona.

  3. Establece la variable de entorno MANAGEMENT_API_SERVER:

    export MANAGEMENT_API_SERVER="ORG_NAME-admin"

    Reemplaza ORG_NAME por el nombre de tu organización, como org-1.

  4. Genera el archivo kubeconfig del servidor de la API de Management para la zona de destino y valida las credenciales:

    export KUBECONFIG=${HOME}/${MANAGEMENT_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${MANAGEMENT_API_SERVER:?} --zone ${ZONE:?}
[[ $(kubectl config current-context) == *${MANAGEMENT_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no deseas reemplazar ni quitar el archivo existente, haz una copia de seguridad en otra ubicación segura.

Recursos del clúster de Kubernetes zonal

Completa los siguientes pasos para generar tu archivo kubeconfig para el clúster de Kubernetes zonal:

  1. Visualiza todas las zonas disponibles:

    gdcloud zones list

    Anota el nombre de la zona que aloja tu recurso personalizado.

  2. Establece la variable de entorno ZONE en la zona que aloja tu clúster de Kubernetes:

    export ZONE="ZONE"

    Reemplaza ZONE por el nombre de la zona.

  3. Establece la variable de entorno KUBERNETES_CLUSTER:

    export KUBERNETES_CLUSTER="KUBERNETES_CLUSTER_NAME"

    Reemplaza KUBERNETES_CLUSTER_NAME por el nombre de tu clúster de Kubernetes.

  4. Genera el archivo kubeconfig del clúster de Kubernetes para la variable de zona de destino y valida las credenciales:

    export KUBECONFIG=${HOME}/${KUBERNETES_CLUSTER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${KUBERNETES_CLUSTER:?} --zone ${ZONE:?}
[[ $(kubectl config current-context) == *${KUBERNETES_CLUSTER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no deseas reemplazar ni quitar el archivo existente, haz una copia de seguridad en otra ubicación segura.

Recursos del servidor de la API global

Completa los siguientes pasos para generar tu archivo kubeconfig para el servidor de la API global:

  1. Establece la variable de entorno GLOBAL_API_SERVER:

    export GLOBAL_API_SERVER="global-api"

  2. Genera el archivo kubeconfig del servidor de la API global y valida las credenciales:

    export KUBECONFIG=${HOME}/${GLOBAL_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${GLOBAL_API_SERVER:?}
[[ $(kubectl config current-context) == *${GLOBAL_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no deseas reemplazar ni quitar el archivo existente, haz una copia de seguridad en otra ubicación segura.

Cierre de sesión por inactividad de la sesión

Después de quince minutos o más de inactividad en una sesión, la consola de GDC y la CLI de gdcloud cierran tu sesión. Distributed Cloud considera la inactividad de la sesión como un período durante una sesión abierta sin participación activa de tu parte, como la ausencia de movimiento del cursor o del teclado. Una sesión activa dura hasta doce horas con actividad del usuario.

Console

En caso de inactividad de la sesión, la consola de GDC cierra tu sesión. Dos minutos antes de que la consola de GDC cierre tu sesión por inactividad, recibirás un diálogo que te advierte sobre el cierre de sesión:

IU de la consola que muestra un diálogo con un temporizador de 99 segundos antes de cerrar la sesión del usuario por inactividad.

Después de cerrar tu sesión por inactividad, verás la siguiente pantalla:

La IU de la consola muestra la pantalla de acceso con un banner que contiene texto sobre el cierre de sesión: &quot;Se cerró tu sesión en el sistema porque estuvo inactiva durante demasiado tiempo. Vuelve a acceder o comunícate con el administrador para obtener ayuda&quot;.

Para volver a acceder a la consola de GDC, selecciona tu proveedor de identidad y agrega tus credenciales de acceso. Si usas un servicio, como el panel de supervisión, y la consola de GDC cierra tu sesión por inactividad, vuelve a acceder para obtener acceso.

gdcloud

En caso de inactividad de la sesión, la CLI de gdcloud cierra tu sesión. Después de que la CLI de gdcloud cierre tu sesión y cuando intentes ejecutar un comando, recibirás un error de autorización:

Error: error when creating kube client: unable to create k8sclient: Unauthorized

Para volver a acceder a GDC, sigue los pasos de la CLI en Acceder.

Si vuelves a acceder a GDC a través de un servidor de la API de Management, tu archivo kubeconfig se actualizará automáticamente. Para evitar que se actualice el archivo kubeconfig, usa la marca --skip-kubeconfig-update en el comando gdcloud auth login.

kubectl

La CLI de gdcloud vence tus archivos kubeconfig después de la inactividad de la sesión. Si intentas ejecutar un comando kubectl después de la inactividad, recibirás un error de autorización:

error: You must be logged in to the server (Unauthorized)

Para volver a acceder y usar tu archivo kubeconfig, sigue los pasos de la CLI en Acceder. Para cada tiempo de espera de la sesión, debes volver a generar tus archivos kubeconfig.