Das in dieser Dokumentation beschriebene Produkt GKE on Azure befindet sich jetzt im Wartungsmodus und wird am 17. März 2027 eingestellt.

Diese Seite wurde von der Cloud Translation API übersetzt.

Verbindung zum Cluster herstellen und authentifizieren

Auf dieser Seite wird erläutert, wie Sie eine Verbindung zu GKE auf Azure herstellen und sich authentifizieren.

Sie haben mehrere Möglichkeiten, sich bei GKE-Clustern zu authentifizieren. Bei allen folgenden Optionen wird davon ausgegangen, dass das Connect-Gateway oder der Nutzer eine Verbindung zur Steuerungsebene Ihres Clusters herstellen kann:

Google-Identität: Die Standardoption zur Authentifizierung, die von GKE on Azure ohne zusätzliche Konfiguration bereitgestellt wird.
Open ID Connect (OIDC) : Wird vom GKE Identity Service unterstützt

Google-Identitätsauthentifizierung

Standardmäßig gewährt die GKE Multi-Cloud API dem Nutzer, der den Cluster erstellt, die Kubernetes-RBAC-Richtlinien (rollenbasierte Zugriffssteuerung), mit denen sich der Nutzer mit seiner Google-Identität beim Cluster authentifizieren kann. Der Nutzer, der den Cluster erstellt hat, kann andere Nutzer als Administratornutzer mit vollständigem Administratorzugriff auf den Cluster hinzufügen.

Zusätzlich zur RBAC-Berechtigungsrichtlinie, die Administratoren die Rolle clusterrole/cluster-admin gewährt, konfiguriert die GKE Multi-Cloud API eine Identitätsrichtlinie, die den Connect-Agent autorisiert, Anfragen im Namen eines Administrators an den Kubernetes API-Server zu senden.

Sie können sich mit Ihrer Google-Identität auf folgende Weise bei Ihrem Cluster authentifizieren:

kubectl mit Identität über die gcloud CLI verwenden

Sie können mit der Google Cloud CLI einen kubeconfig erstellen, der die Identität des mit gcloud auth login authentifizierten Nutzers verwendet. Anschließend können Sie mit kubectl auf den Cluster zugreifen.

Für den kubectl-Zugriff bei Verwendung des Connect-Gateways muss einem Administratornutzer, der kein Projektinhaber ist, mindestens die folgenden Rollen im Projekt zugewiesen werden:

roles/gkehub.gatewayAdmin: Mit dieser Rolle kann ein Nutzer auf die Connect-Gateway-API zugreifen, um den Cluster mithilfe von kubectl zu verwalten.
- Wenn ein Nutzer nur Lesezugriff auf verbundene Cluster benötigt, können Sie stattdessen roles/gkehub.gatewayReader gewähren.
- Wenn ein Nutzer Lese-/Schreibzugriff auf verbundene Cluster benötigt, können Sie roles/gkehub.gatewayEditor gewähren.
roles/gkehub.viewer: Mit dieser Rolle kann ein Nutzer Cluster-kubeconfigs abrufen.

Weitere Informationen zu den in diesen Rollen enthaltenen Berechtigungen finden Sie in der IAM-Dokumentation unter GKE-Hub-Rollen.

Weitere Informationen zum Erteilen von IAM-Berechtigungen und -Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Nachdem ein Administratornutzer die erforderlichen Rollen hat, folgen Sie der Anleitung unter Clusterzugriff für kubectl konfigurieren.

Google Cloud Console verwenden

Administratornutzer, die keine Projektinhaber sind und über die Console mit Clustern interagieren möchten, benötigen mindestens die folgenden Rollen:

roles/container.viewer. Mit dieser Rolle können Nutzer die Seite „GKE-Cluster“ und andere Containerressourcen in der Google Cloud Console aufrufen. Weitere Informationen zu den Berechtigungen, die in dieser Rolle enthalten sind, finden Sie in der IAM-Dokumentation unter Kubernetes Engine-Rollen.
roles/gkehub.viewer. Mit dieser Rolle können Nutzer Cluster außerhalb vonGoogle Cloud in der Google Cloud Console aufrufen. Beachten Sie, dass dies eine der Rollen ist, die für den Zugriff auf kubectl erforderlich sind. Wenn Sie einem Nutzer diese Rolle bereits zugewiesen haben, müssen Sie sie nicht noch einmal zuweisen. Weitere Informationen zu den Berechtigungen, die in dieser Rolle enthalten sind, finden Sie in der IAM-Dokumentation unter GKE-Hub-Rollen.

Weitere Informationen zum Erteilen von IAM-Berechtigungen und -Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Informationen zum Anmelden im Cluster über die Console finden Sie unter Mit Ihrer Google Cloud Identity anmelden.

Google Groups verwenden

Informationen zum Herstellen einer Verbindung zu Ihrem Cluster als Mitglied einer Google-Gruppe finden Sie unter Google-Gruppen mit GKE auf Azure verbinden.

Mit OIDC authentifizieren

Informationen zur Authentifizierung bei Ihrem Cluster mit OIDC finden Sie unter Identität mit GKE Identity Service verwalten.

Authentifizierung mit externen Identitäten

Informationen zur Authentifizierung bei Ihrem Cluster mit externen Identitäten finden Sie unter Mit externen Identitäten authentifizieren.

Verbindung zur Steuerungsebene Ihres Clusters herstellen

Alle GKE on Azure-Cluster werden in privaten Subnetzen erstellt. Die gesamte zugrunde liegende Clusterinfrastruktur (z. B. Knoten- und Load-Balancer-Endpunkte) wird nur mit privaten RFC 1918-IP-Adressen bereitgestellt.

Zum direkten Verwalten des Clusters müssen Sie eine Verbindung zum Load-Balancer der Steuerungsebene Ihres Clusters herstellen können. Wenn Ihr Cluster keine direkte Verbindung zu Ihrer Steuerungsebene, aber ausgehende Verbindungen herstellen kann, können Sie über den von Google gehosteten Reverse-Proxy zu Ihrem Cluster eine Verbindung zur Steuerungsebene herstellen. Weitere Informationen finden Sie unter Verbindung zu registrierten Clustern mit dem Connect-Gateway herstellen.

Sie können auch eine Verbindung über den ExpressRoute von Azure herstellen.