Il prodotto descritto in questa documentazione, GKE su Azure, è ora in modalità di manutenzione e verrà ritirato il 17 marzo 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica dell'autenticazione

Questa pagina descrive come GKE su Azure gestisce l'autenticazione a Google Cloud e l'autenticazione degli utenti nei cluster.

In che modo GKE su Azure si connette ad Azure

L'API GKE Multi-cloud esegue l'autenticazione in Azure con un oggetto AzureClient. Quando crei un client, Google genera una coppia di chiavi X.509. Carichi la chiave pubblica in Azure Active Directory (Azure AD).

Per saperne di più, vedi Creare un AzureClient.

Autenticazione

Autenticazione dell'API GKE Multi-cloud

Utilizzi l'API GKE Multi-cloud per creare, aggiornare ed eliminare cluster e node pool. Come per altre Google Cloud API, puoi utilizzare questa API con REST, Google Cloud CLI o la Google Cloud console.

Per saperne di più, consulta Google Cloud la panoramica dell'autenticazione e la documentazione di riferimento dell'API GKE Multi-cloud.

Autenticazione dell'API Kubernetes

Puoi utilizzare lo strumento a riga di comando kubectl per eseguire operazioni del cluster come il deployment di un carico di lavoro e la configurazione di un bilanciatore del carico. Lo strumento kubectl si connette all'API Kubernetes sul piano di controllo del cluster. Per chiamare questa API, devi eseguire l'autenticazione con le credenziali autorizzate.

Per ottenere le credenziali, puoi utilizzare uno dei seguenti metodi:

Identità Google, che consente agli utenti di accedere utilizzando la propria Google Cloud identità. Utilizza questa opzione se i tuoi utenti hanno già accesso a Google Cloud con un'identità Google.
GKE Identity Service, che consente agli utenti di accedere utilizzando OpenID Connect (OIDC).

GKE Identity Service ti consente di utilizzare provider di identità come Okta, Active Directory Federation Services (ADFS), o qualsiasi provider di identità conforme a OIDC.

Autorizzazione

GKE su Azure ha due metodi per il controllo dell'accesso: l'API GKE Multi-cloud e il controllo dell'accesso basato sui ruoli (RBAC). Questa sezione descrive le differenze tra questi metodi.

È consigliabile adottare un approccio a più livelli per proteggere i cluster e i carichi di lavoro. Puoi applicare il principio del privilegio minimo al livello di accesso che fornisci ai tuoi utenti e carichi di lavoro. Potresti dover scendere a compromessi per consentire il giusto livello di flessibilità e sicurezza.

Controllo dell'accesso all'API GKE Multi-cloud

L'API GKE Multi-cloud consente agli amministratori dei cluster di creare, aggiornare ed eliminare cluster e node pool. Gestisci le autorizzazioni per l'API con Identity and Access Management (IAM). Per utilizzare l'API, gli utenti devono disporre delle autorizzazioni appropriate. Per le autorizzazioni necessarie per ogni operazione, vedi Ruoli e autorizzazioni API. IAM ti consente di definire i ruoli e assegnarli alle entità. Un ruolo è una raccolta di autorizzazioni e, quando viene assegnato a un'entità, controlla l'accesso a una o più Google Cloud risorse.

Quando crei un cluster o un pool di nodi in un'organizzazione, una cartella o un progetto, gli utenti con le autorizzazioni appropriate nell'organizzazione, nella cartella o nel progetto possono modificarlo. Ad esempio, se concedi a un utente l'autorizzazione per l'eliminazione del cluster a livello di Google Cloud progetto, l'utente può eliminare qualsiasi cluster nel progetto. Per saperne di più, consulta la Google Cloud gerarchia delle risorse e la creazione di policy IAM.

Controllo dell'accesso all'API Kubernetes

L'API Kubernetes consente di gestire gli oggetti Kubernetes. Per gestire il controllo dell'accesso all'API Kubernetes, utilizza il controllo dell'accesso basato sui ruoli (RBAC). Per saperne di più, consulta Configurare il controllo dell'accesso basato sui ruoli nella documentazione di GKE.

Accesso come amministratore

Quando utilizzi gcloud CLI per creare un cluster, per impostazione predefinita l'API GKE Multi-cloud aggiunge il tuo account utente come amministratore e crea le policy RBAC appropriate che ti concedono l'accesso amministrativo completo al cluster. Per configurare utenti diversi, passa il --admin-users flag quando crei o aggiorni un cluster. Quando utilizzi il flag --admin-users, devi includere tutti gli utenti che possono amministrare il cluster. gcloud CLI non include l'utente che crea il cluster.

Puoi anche aggiungere utenti amministratori utilizzando la Google Cloud console. Per saperne di più, vedi Aggiornare il cluster.

Per visualizzare la configurazione dell'accesso al cluster, esegui il seguente comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Oltre alle policy RBAC per accedere al server API Kubernetes, se un utente amministratore non è il proprietario del progetto, devi concedere ruoli IAM specifici che consentano agli utenti amministratori di eseguire l'autenticazione utilizzando la propria identità Google. Per saperne di più su come connetterti al cluster, vedi Connettersi ed eseguire l'autenticazione al cluster.

Passaggi successivi

Per configurare OIDC, vedi Gestire l'identità con GKE Identity Service.
Connettersi ed eseguire l'autenticazione al cluster.