本文說明如何以程式輔助方式向 Google Kubernetes Engine 進行驗證。向 Google Kubernetes Engine 進行驗證的方法,取決於您用來存取 API 的介面,以及執行程式碼的環境。
您可以使用 GKE API 與執行 Kubernetes 的基礎架構互動,例如 GKE 叢集和節點。 Google Cloud如要與 Pod 和服務等 Kubernetes 物件互動,您必須驗證 Kubernetes API,這與 GKE API 不同,且由每個叢集中的 Kubernetes API 伺服器提供服務。如需操作說明,請參閱「對 Kubernetes API 伺服器進行驗證」。
如要從 GKE 中執行的工作負載存取 Cloud Storage 儲存桶等其他 Google Cloud 資源,請使用 Workload Identity Federation for GKE。
如要進一步瞭解 Google Cloud 驗證,請參閱「驗證方式」。
API 存取權
GKE 支援程式輔助存取。您可以透過下列方式存取 API:
用戶端程式庫
GKE 用戶端程式庫提供高階語言支援,可透過程式輔助方式向 GKE 進行驗證。為驗證向 Google Cloud API 發出的呼叫,用戶端程式庫支援應用程式預設憑證 (ADC)。程式庫會在定義的一組位置中尋找憑證,並使用這些憑證驗證向 API 發出的要求。有了 ADC,您可以在各種環境 (例如本機開發環境或正式環境),為應用程式提供憑證,不用修改應用程式程式碼。
Google Cloud CLI
使用 gcloud CLI 存取 GKE 時,使用使用者帳戶登入 gcloud CLI,可提供 gcloud CLI 指令所使用的憑證。
如果組織的安全政策禁止使用者帳戶具備必要權限,可以採用服務帳戶模擬。
詳情請參閱「使用 gcloud CLI 進行驗證」。如要進一步瞭解如何透過 gcloud CLI 使用 GKE,請參閱 gcloud CLI 參考頁面。
REST
您可以使用 gcloud CLI 憑證或應用程式預設憑證,向 GKE API 進行驗證。如要進一步瞭解 REST 要求的驗證機制,請參閱「使用 REST 進行驗證」。如要瞭解憑證類型,請參閱「gcloud CLI 憑證和 ADC 憑證」。
後續步驟
- 對 Kubernetes API 伺服器進行驗證。
- 使用外部識別資訊提供者向 GKE 進行驗證。
- 使用 Workload Identity Federation for GKE,從 GKE 向 API 驗證身分 Google Cloud 。
- 瞭解 GKE 和 Kubernetes 中的存取控管。
- 瞭解 GKE API 和 Kubernetes API。
- 瞭解Google Cloud 驗證方式。
- 查看驗證用途清單。