אימות ל-GKE

במאמר הזה נסביר איך לבצע באופן פרוגרמטי אימות ב-Google Kubernetes Engine. האופן שבו מבצעים אימות ב-Google Kubernetes Engine משתנה לפי הממשק שמשמש לגישה ל-API ולסביבה שבה הקוד פועל.

‫GKE API מאפשר לכם לקיים אינטראקציה עם Google Cloud התשתית שמריצה את Kubernetes, כמו אשכולות וצמתים של GKE.

כדי ליצור אינטראקציה עם אובייקטים של Kubernetes כמו Pods ו-Services, צריך לאמת את הגישה ל-Kubernetes API, שהוא נפרד מ-GKE API ומופעל על ידי שרת Kubernetes API בכל אשכול. הוראות מפורטות זמינות במאמר בנושא אימות לשרת Kubernetes API.

כדי לגשת למשאבים אחרים Google Cloud כמו בקטות של Cloud Storage מעומסי עבודה שפועלים ב-GKE, משתמשים באיחוד זהויות של עומסי עבודה ל-GKE.

למידע נוסף על אימות ב- Google Cloud אתם יכולים לעיין בשיטות האימות.

גישה באמצעות ממשק API

ב-GKE יש תמיכה בגישה פרוגרמטית. הגישה ל-API אפשרית בדרכים הבאות:

ספריות לקוח

ספריות הלקוח של GKE מספקות שפות תמיכה ברמה גבוהה לצורך אימות פרוגרמטי ב-GKE. כדי לאמת קריאות לממשקי ה-API של Google Cloud , ספריות הלקוח תומכות ב-Application Default Credentials ‏(ADC). בספריות מתבצע חיפוש של פרטי כניסה בקבוצה של מיקומים מוגדרים, והמערכת משתמשת בפרטי הכניסה האלה כדי לאמת בקשות ל-API. בעזרת ADC, פרטי הכניסה לאפליקציה יכולים להיות זמינים בסביבות שונות, כמו בפיתוח מקומי או בייצור, גם בלי לשנות את קוד האפליקציה.

Google Cloud CLI

כשמשתמשים ב-CLI של gcloud כדי להיכנס ל-GKE, מתחברים ל-CLI של gcloud באמצעות חשבון משתמש שמספק את פרטי הכניסה שבהם משתמשות פקודות ה-CLI של gcloud.

אם מדיניות האבטחה של הארגון לא מאפשרת הקצאה של ההרשאות הנדרשות לחשבונות משתמשים, תוכלו להשתמש בתכונה התחזות לחשבון שירות.

למידע נוסף, תוכלו לקרוא על אימות לשימוש ב-CLI של gcloud. למידע נוסף על השימוש ב-CLI של gcloud עם GKE, אפשר לעיין בדפי העזר של gcloud CLI.

REST

אתם יכולים לאמת את GKE API באמצעות פרטי הכניסה ל-CLI של gcloud, או באמצעות Application Default Credentials. למידע נוסף על אימות של בקשות REST, אפשר לעיין במאמר אימות לשימוש ב-REST. למידע נוסף על הסוגים השונים של פרטי כניסה, אפשר לעיין במאמר פרטי כניסה ל-CLI של gcloud ו-ADC.

המאמרים הבאים