Produk yang dijelaskan dalam dokumentasi ini, GKE di AWS, kini dalam mode pemeliharaan dan akan dihentikan pada 17 Maret 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menghubungkan dan melakukan autentikasi ke cluster Anda

Halaman ini menjelaskan cara menghubungkan dan melakukan autentikasi ke GKE di AWS.

Anda memiliki beberapa opsi untuk melakukan autentikasi ke cluster GKE. Semua opsi berikut mengasumsikan bahwa Connect gateway atau pengguna dapat terhubung ke bidang kontrol cluster Anda:

Identitas Google: Opsi autentikasi default yang disediakan oleh GKE di AWS tanpa konfigurasi tambahan.
Open ID Connect (OIDC) atau AWS IAM: Didukung oleh GKE Identity Service

Autentikasi identitas Google

Secara default, GKE Multi-Cloud API memberikan kebijakan kontrol akses berbasis peran Kubernetes (RBAC) kepada pengguna yang membuat cluster sehingga pengguna dapat melakukan autentikasi dengan cluster menggunakan identitas Google-nya. Pengguna yang membuat cluster dapat menambahkan pengguna lain sebagai pengguna admin dengan akses administratif penuh ke cluster.

Selain kebijakan izin RBAC yang memberikan peran clusterrole/cluster-admin kepada pengguna admin, GKE Multi-Cloud API mengonfigurasi kebijakan peniruan identitas yang mengotorisasi agen Connect untuk mengirim permintaan ke server Kubernetes API atas nama pengguna admin.

Anda dapat melakukan autentikasi ke cluster dengan identitas Google Anda dengan cara berikut:

Menggunakan kubectl dengan identitas dari gcloud CLI

Anda dapat menggunakan Google Cloud CLI untuk membuat kubeconfig yang menggunakan identitas pengguna yang diautentikasi dengan gcloud auth login. Kemudian, Anda dapat menggunakan kubectl untuk mengakses cluster.

Untuk akses kubectl saat menggunakan Connect gateway, jika pengguna admin bukan pemilik project, pengguna harus diberi peran berikut di project:

roles/gkehub.gatewayAdmin: Peran ini memungkinkan pengguna mengakses Connect gateway API untuk menggunakan kubectl guna mengelola cluster.
- Jika pengguna hanya memerlukan akses baca-saja ke cluster terhubung, Anda dapat memberikan roles/gkehub.gatewayReader sebagai gantinya.
- Jika pengguna memerlukan akses baca / tulis ke cluster terhubung, Anda dapat memberikan roles/gkehub.gatewayEditor.
roles/gkehub.viewer: Peran ini memungkinkan pengguna mengambil kubeconfigs cluster.

Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran GKE Hub dalam dokumentasi IAM.

Anda dapat mengetahui lebih lanjut cara memberikan izin dan peran IAM di Memberikan, mengubah, dan mencabut akses ke resource.

Setelah pengguna admin memiliki peran yang diperlukan, ikuti langkah-langkah di Mengonfigurasi akses cluster untuk kubectl.

Menggunakan Google Cloud konsol

Pengguna admin yang bukan pemilik project dan ingin berinteraksi dengan cluster menggunakan konsol memerlukan peran berikut minimal:

roles/container.viewer. Peran ini memungkinkan pengguna melihat halaman Cluster GKE dan resource container lainnya di Google Cloud konsol. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran Kubernetes Engine dalam dokumentasi IAM.
roles/gkehub.viewer. Peran ini memungkinkan pengguna melihat cluster di luar Google Cloud di Google Cloud konsol. Perhatikan bahwa ini adalah salah satu peran yang diperlukan untuk akses kubectl. Jika Anda sudah memberikan peran ini kepada pengguna, Anda tidak perlu memberikannya lagi. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran GKE Hub dalam dokumentasi IAM.

Anda dapat mengetahui lebih lanjut cara memberikan izin dan peran IAM di Memberikan, mengubah, dan mencabut akses ke resource.

Untuk mengetahui informasi tentang cara login ke cluster dari konsol, lihat Login menggunakan Google Cloud identitas Anda.

Menggunakan Google Grup

Untuk terhubung ke cluster Anda sebagai anggota grup Google, lihat Menghubungkan grup Google ke GKE di AWS.

Melakukan autentikasi dengan OIDC

Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster Anda dengan OIDC, lihat Mengelola identitas dengan GKE Identity Service.

Melakukan autentikasi dengan AWS IAM

Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster Anda dengan AWS IAM, lihat Mengelola identitas dengan GKE Identity Service.

Melakukan autentikasi dengan identitas eksternal

Untuk mengetahui informasi tentang cara melakukan autentikasi ke cluster Anda dengan identitas eksternal, lihat Melakukan autentikasi dengan identitas eksternal.

Menghubungkan ke bidang kontrol cluster Anda

Semua GKE di AWS dibuat di subnet pribadi. Semua infrastruktur cluster yang mendasarinya (misalnya, node dan endpoint load balancer) hanya disediakan dengan alamat IP RFC 1918 pribadi.

Untuk mengelola cluster Anda secara langsung, Anda harus dapat terhubung ke load balancer bidang kontrol cluster Anda. Jika cluster Anda tidak dapat terhubung langsung ke bidang kontrol, tetapi dapat membuat koneksi keluar, Anda dapat terhubung ke bidang kontrol melalui Connect gateway, proxy terbalik yang dihosting Google ke cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke cluster terdaftar dengan Connect gateway.

Anda juga dapat terhubung melalui AWS Direct Connect.

Menghubungkan dan melakukan autentikasi ke cluster Anda Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.