Mengelola akses ke cluster standar

Dokumen ini menjelaskan cara mengelola izin untuk cluster standar di Google Distributed Cloud (GDC) yang terisolasi menggunakan gdcloud CLI. Cluster standar memiliki cakupan project, lingkungan Kubernetes yang dapat dikonfigurasi dengan layanan default minimal yang menawarkan fleksibilitas dan kontrol yang lebih besar untuk beban kerja kustom.

Untuk mengetahui informasi selengkapnya tentang cluster standar dan jenis cluster lainnya, lihat Konfigurasi cluster Kubernetes.

Halaman ini ditujukan untuk audiens dalam grup operator aplikasi, seperti operasi developer atau ilmuwan data, yang perlu mengelola dan mengamankan resource dalam project GDC. Untuk mengetahui informasi selengkapnya, lihat Audiens untuk dokumentasi GDC yang terisolasi dari internet.

Sebelum memulai

  • Minta Admin IAM Organisasi Anda untuk memberi Anda peran Project IAM Admin (project-iam-admin). Untuk mengetahui informasi selengkapnya tentang peran, lihat Definisi peran.
  • Instal gdcloud CLI jika Anda belum melakukannya.

Memberikan izin untuk akses cluster standar

Pengguna dengan peran Project IAM Admin (project-iam-admin) melakukan langkah-langkah berikut untuk memberikan peran yang diperlukan kepada pengguna lain untuk mengelola akses dalam cluster standar:

  1. Login dengan penyedia identitas yang dikonfigurasi menggunakan gdcloud CLI.

  2. Berikan peran Cluster Admin (cluster-admin) kepada pengguna untuk project tersebut. Perintah ini mengikat pengguna ke peran, sehingga memungkinkan mereka mengelola akses dalam cluster standar.

    Lihat Deskripsi peran yang telah ditetapkan dan Definisi peran untuk project untuk mengetahui informasi selengkapnya tentang peran.

    gdcloud projects add-iam-policy-binding PROJECT \
  --role=ROLE \
  --member=user:USER_ACCOUNT

    Ganti variabel berikut:

    • PROJECT: nama project tempat cluster standar berada.
    • ROLE: nama peran yang ingin Anda berikan (seperti cluster-admin atau cluster-developer).
    • USER_ACCOUNT: akun pengguna yang ingin Anda beri peran, termasuk awalan penyedia identitas yang terkait dengan organisasi Anda (seperti idpprefix-user@example.com). Awalan spesifik yang digunakan bergantung pada konfigurasi IdP organisasi Anda. Lihat Menghubungkan ke penyedia identitas untuk mengetahui informasi selengkapnya.

    Contoh berikut memberikan peran Cluster Admin kepada user@example.com, dengan asumsi awalan penyedia identitas adalah fop- untuk project foo:

    gdcloud projects add-iam-policy-binding foo \
  --role=cluster-admin \
  --member=user:fop-user@example.com

Mengelola akses dalam cluster standar

Pengguna yang diberi peran cluster-admin di bagian sebelumnya melakukan langkah-langkah berikut:

  1. Login dengan penyedia identitas yang dikonfigurasi menggunakan gdcloud CLI.

  2. Buat file kubeconfig untuk cluster standar menggunakan flag --standard. Flag ini diperlukan untuk menargetkan cluster standar.

    export KUBECONFIG=KUBECONFIG_FILE
gdcloud get-credentials STANDARD_CLUSTER_NAME --standard --project=PROJECT

    Ganti variabel berikut:

    • KUBECONFIG_FILE: jalur ke file kubeconfig seperti standard-cluster-kubeconfig.yaml.
    • STANDARD_CLUSTER_NAME: nama cluster standar.
    • PROJECT: nama project tempat cluster standar berada.

  3. Tentukan izin dalam cluster standar menggunakan kubectl.

    Pengguna dengan izin cluster-admin dapat membuat objek Role dan ClusterRole kustom. Untuk memberikan izin ini, mereka dapat membuat objek Rolebinding dan ClusterRoleBinding yang sesuai untuk mengikat peran ke subjek tertentu, seperti pengguna atau akun layanan.

    Contoh berikut menggunakan kubectl untuk membuat Role kustom contoh bernama test-role di namespace test:

    kubectl apply -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: test-role
  namespace: test
rules:
- apiGroups:
  - ""
  resources:
  - configmaps
  verbs:
  - get
EOF

    Contoh berikut membuat RoleBinding untuk Role bernama test-role dalam namespace test. Perintah ini memberikan izin kepada pengguna alice@example.com dengan awalan penyedia identitas fop-, serta ke ServiceAccount bernama my-service-account di namespace default:

    kubectl apply -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test-role-binding
  namespace: test
subjects:
- kind: User
  name: fop-alice@example.com
  apiGroup: rbac.authorization.k8s.io
- kind: ServiceAccount
  name: my-service-account
  namespace: default
roleRef:
  kind: Role
  name: test-role
  apiGroup: rbac.authorization.k8s.io
EOF