Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff auf Standardcluster verwalten

Standard

In diesem Dokument wird beschrieben, wie Sie Berechtigungen für Standardcluster in Google Distributed Cloud (GDC) mit Air Gap mit der gdcloud CLI verwalten. Standardcluster sind projektbezogene, konfigurierbare Kubernetes-Umgebungen mit minimalen Standarddiensten, die mehr Flexibilität und Kontrolle für benutzerdefinierte Arbeitslasten bieten.

Weitere Informationen zu Standardclustern und anderen Clustertypen finden Sie unter Kubernetes-Clusterkonfigurationen.

Diese Seite richtet sich an Nutzer in der Gruppe der Anwendungsoperatoren, z. B. Entwickler oder Data Scientists, die Ressourcen in GDC-Projekten verwalten und schützen müssen. Weitere Informationen finden Sie unter Dokumentation zu Zielgruppen für GDC mit Air Gap.

Hinweise

Bitten Sie Ihren Organisations-IAM-Administrator, Ihnen die Rolle „Projekt-IAM-Administrator“ (project-iam-admin) zuzuweisen. Weitere Informationen zu Rollen finden Sie unter Rollendefinitionen.
Installieren Sie die gcloud CLI, falls noch nicht geschehen.

Berechtigungen für den Standardclusterzugriff erteilen

Ein Nutzer mit der Rolle „Projekt-IAM-Administrator“ (project-iam-admin) führt die folgenden Schritte aus, um anderen Nutzern die erforderlichen Rollen für die Verwaltung des Zugriffs in Standardclustern zuzuweisen:

Mit Ihrem konfigurierten Identitätsanbieter anmelden
Weisen Sie dem Nutzer die Rolle „Cluster-Administrator“ (cluster-admin) für das Projekt zu. Mit diesem Befehl wird der Nutzer an die Rolle gebunden, sodass er den Zugriff im Standardcluster verwalten kann.

Weitere Informationen zu den Rollen finden Sie unter Beschreibungen vordefinierter Rollen und Rollendefinitionen für Projekte.
```
gdcloud projects add-iam-policy-binding PROJECT \
  --role=ROLE \
  --member=user:USER_ACCOUNT
```
Ersetzen Sie die folgenden Variablen:
- PROJECT: der Name des Projekts, in dem der Standardcluster vorhanden ist.
- ROLE: Der Name der Rolle, die Sie zuweisen möchten, z. B. cluster-admin oder cluster-developer.
- USER_ACCOUNT: Das Nutzerkonto, dem Sie die Rolle zuweisen möchten, einschließlich des mit Ihrer Organisation verknüpften Identitätsanbieter-Präfixes (z. B. idpprefix-user@example.com). Das verwendete Präfix hängt von der IdP-Konfiguration Ihrer Organisation ab. Weitere Informationen finden Sie unter Mit einem Identitätsanbieter verbinden.
Im folgenden Beispiel wird user@example.com die Rolle „Clusteradministrator“ zugewiesen, wobei davon ausgegangen wird, dass das Identitätsanbieterpräfix fop- für das Projekt foo ist:
```
gdcloud projects add-iam-policy-binding foo \
  --role=cluster-admin \
  --member=user:fop-user@example.com
```

Zugriff im Standardcluster verwalten

Ein Nutzer, dem im vorherigen Abschnitt die Rolle cluster-admin zugewiesen wurde, führt die folgenden Schritte aus:

Mit Ihrem konfigurierten Identitätsanbieter anmelden
Generieren Sie mit dem Flag --standard eine kubeconfig-Datei für einen Standardcluster. Dieses Flag ist erforderlich, um auf einen Standardcluster auszurichten.
```
export KUBECONFIG=KUBECONFIG_FILE
gdcloud get-credentials STANDARD_CLUSTER_NAME --standard --project=PROJECT
```
Ersetzen Sie die folgenden Variablen:
- KUBECONFIG_FILE: Der Pfad zur kubeconfig-Datei, z. B. standard-cluster-kubeconfig.yaml.
- STANDARD_CLUSTER_NAME: Der Name des Standardclusters.
- PROJECT: der Name des Projekts, in dem der Standardcluster vorhanden ist.
Definieren Sie Berechtigungen im Standardcluster mit kubectl.

Nutzer mit cluster-admin-Berechtigungen können benutzerdefinierte Role- und ClusterRole-Objekte erstellen. Um diese Berechtigungen zu gewähren, können sie die entsprechenden Rolebinding- und ClusterRoleBinding-Objekte erstellen, um die Rollen an bestimmte Subjekte wie Nutzer oder Dienstkonten zu binden.

Hinweis :Nutzer können nur Berechtigungen erteilen, die sie selbst haben. Sie können diesen Zugriff nicht nutzen, um ihre eigenen Berechtigungen zu eskalieren.

Im folgenden Beispiel wird kubectl verwendet, um eine benutzerdefinierte Beispiel-Role mit dem Namen test-role im Namespace test zu erstellen:
```
kubectl apply -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: test-role
  namespace: test
rules:
- apiGroups:
  - ""
  resources:
  - configmaps
  verbs:
  - get
EOF
```
Im folgenden Beispiel wird die RoleBinding für die Role mit dem Namen test-role im Namespace test erstellt. Damit werden Berechtigungen für den Nutzer alice@example.com mit dem Identitätsanbieterpräfix fop- sowie für eine ServiceAccount mit dem Namen my-service-account im Namespace default gewährt:
```
kubectl apply -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test-role-binding
  namespace: test
subjects:
- kind: User
  name: fop-alice@example.com
  apiGroup: rbac.authorization.k8s.io
- kind: ServiceAccount
  name: my-service-account
  namespace: default
roleRef:
  kind: Role
  name: test-role
  apiGroup: rbac.authorization.k8s.io
EOF
```

Zugriff auf Standardcluster verwalten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

Berechtigungen für den Standardclusterzugriff erteilen

Zugriff im Standardcluster verwalten

Zugriff auf Standardcluster verwalten