In diesem Dokument wird beschrieben, wie Sie als Mitglied einer Google-Gruppe eine Verbindung zu GKE on AWS herstellen können.
Die Verwendung von Google-Gruppen zum Gewähren des Clusterzugriffs ist effizienter als das Erstellen separater Autorisierungen für einzelne Nutzer. Angenommen, Sie möchten der Clusteradministratorgruppe 50 Nutzer, einer Bearbeitergruppe 75 Nutzer und einer Lesergruppe 100 Nutzer hinzufügen. Wenn Sie allen diesen Nutzern die Möglichkeit geben möchten, eine Verbindung zu Ihrem Cluster herzustellen, müssen Sie RBAC-Regeln in der Kubernetes-Manifestdatei für 225 Nutzer erstellen. Wenn Sie den Zugriff auf Ihren Cluster mit Google-Gruppen aktivieren, sparen Sie jedoch Zeit, da Sie nur RBAC-Regeln für drei Google-Gruppen erstellen müssen.
Hinweis
Damit Sie als Mitglied einer Google-Gruppe eine Verbindung zu Ihrem Cluster herstellen können, müssen die folgenden Voraussetzungen erfüllt sein:
Prüfen Sie, ob Sie die neueste Version des Google Cloud CLI haben. Informationen zum Aktualisieren des gcloud CLI finden Sie unter
gcloud components update.Verwenden Sie GKE on AWS Version 1.25 oder höher. Diese ist für den
kubectl-Zugriff über das Connect-Gateway erforderlich.
Verbindung zu Ihrem Cluster mit Google-Gruppen herstellen
So autorisieren Sie Google-Gruppen, eine Verbindung zu GKE on AWS herzustellen:
Aktivieren Sie die APIs
connectgatewayundcloudresourcemanagermit dem folgenden Befehl:gcloud services enable --project=PROJECT_ID \ connectgateway.googleapis.com \ cloudresourcemanager.googleapis.comErsetzen Sie
PROJECT_IDdurch die ID Ihres AWS-Projekts.Erstellen Sie eine Gruppe namens
gke-security-groupsals Gruppe in der Domain Ihres Projekts, falls sie noch nicht vorhanden ist.Erstellen Sie eine oder mehrere Untergruppen innerhalb der Gruppe
gke-security-groupsfür die Clusterauthentifizierung.Fügen Sie den neu erstellten Untergruppen Nutzer hinzu.
Für den
kubectl-Zugriff über das Connect-Gateway müssen Sie Google-Gruppen IAM-Rollen zuweisen:Wählen Sie eine geeignete Rolle für eine Gruppe aus. Diese Rolle bestimmt, wie die Gruppe mit dem Connect-Gateway interagiert. Die Rolle kann eine der folgenden sein:
roles/gkehub.gatewayAdmin,roles/gkehub.gatewayEditor,roles/gkehub.gatewayReader. Hinweis: Hier gewähren Sie keine Berechtigungen für den Cluster. Dieser Schritt erfolgt später. Hier legen Sie lediglich fest, wie Nutzer der Gruppe das Connect-Gateway bearbeiten können.Führen Sie den folgenden Befehl aus, um der Gruppe die Rolle zuzuweisen:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=group:GROUP_NAME@DOMAIN \ --role=GATEWAY_ROLEErsetzen Sie Folgendes:
PROJECT_ID: Ihre Google-Projekt-ID.GROUP_NAME: der Name der Gruppe, der Zugriff gewährt werden soll.DOMAIN: Ihre Google Workspace-Domain.GATEWAY_ROLE: die ausgewählte Rolle. Beispiel:roles/gkehub.gatewayAdmin,roles/gkehub.gatewayEditoroderroles/gkehub.gatewayReader.
Definieren Sie in einem Kubernetes-Manifest die Berechtigungen, die jede Google-Gruppe für den Cluster hat. Das folgende Manifest gewährt beispielsweise der Google-Gruppe
cluster-admin-teamdie Rolle des Clusteradministrators:apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-group subjects: - kind: Group name: cluster-admin-team@example.com roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.ioSpeichern Sie das Manifest in einer Datei und wenden Sie es auf den Cluster an, indem Sie den folgenden Befehl ausführen:
kubectl apply -kubeconfig=KUBECONFIG_PATH -f FILENAMEErsetzen Sie Folgendes:
KUBECONFIG_PATH: Pfad zur DateikubeconfigFILENAME: der Name der von Ihnen erstellten Manifestdatei.
Nachdem Sie diese Schritte ausgeführt haben, können Nutzer, die bestimmten Google-Gruppen angehören, eine Verbindung zum Cluster herstellen. Im angegebenen Beispiel können Nutzer, die zur Google-Gruppe cluster-admin-team gehören, als Administratoren eine Verbindung zum Cluster herstellen.