El producto descrito en esta documentación, GKE en Azure, ahora está en modo de mantenimiento y dejará de estar disponible el 17 de marzo del 2027.

Esta página se ha traducido con Cloud Translation API.

Conectarse y autenticarse en tu clúster

En esta página se explica cómo conectarse y autenticarse en GKE en Azure.

Tienes varias opciones para autenticarte en clústeres de GKE. En todas las opciones siguientes se da por hecho que la puerta de enlace de conexión o el usuario pueden conectarse al plano de control de tu clúster:

Identidad de Google: la opción de autenticación predeterminada que proporciona GKE en Azure sin configuración adicional.
OpenID Connect (OIDC): compatible con el servicio de identidad de GKE

Autenticación de identidad de Google

De forma predeterminada, la API GKE Multi-Cloud concede al usuario que crea el clúster las políticas de control de acceso basado en roles (RBAC) de Kubernetes, que permiten al usuario autenticarse en el clúster con su identidad de Google. El usuario que ha creado el clúster puede añadir a otros usuarios como administradores con acceso administrativo completo al clúster.

Además de la política de permisos de RBAC que asigna el rol clusterrole/cluster-admin a los usuarios administradores, la API Multi-Cloud de GKE configura una política de suplantación de identidad que autoriza al agente de conexión a enviar solicitudes al servidor de la API de Kubernetes en nombre de un usuario administrador.

Puedes autenticarte en tu clúster con tu identidad de Google de las siguientes formas:

Usar kubectl con la identidad de gcloud CLI

Puedes usar Google Cloud CLI para crear un kubeconfig que utilice la identidad del usuario autenticado con gcloud auth login. Después, puedes usar kubectl para acceder al clúster.

Para tener acceso a kubectl al usar la pasarela Connect, si un usuario administrador no es propietario de un proyecto, como mínimo, debe tener asignados los siguientes roles en el proyecto:

roles/gkehub.gatewayAdmin: este rol permite a un usuario acceder a la API de la pasarela Connect para usar kubectl y gestionar el clúster.
- Si un usuario solo necesita acceso de lectura a los clústeres conectados, puedes concederle roles/gkehub.gatewayReader.
- Si un usuario necesita acceso de lectura o escritura a los clústeres conectados, puede concederle roles/gkehub.gatewayEditor.
roles/gkehub.viewer: este rol permite a un usuario obtener clústeres kubeconfigs.

Para obtener información sobre los permisos incluidos en estos roles, consulta Roles de GKE Hub en la documentación de gestión de identidades y accesos.

Para obtener más información sobre cómo conceder roles y permisos de gestión de identidades y accesos, consulta el artículo Conceder, cambiar y revocar el acceso a los recursos.

Una vez que el usuario administrador tenga los roles necesarios, sigue los pasos que se indican en Configurar el acceso a clústeres para kubectl.

Usar la Google Cloud consola

Los usuarios administradores que no sean propietarios de proyectos y quieran interactuar con clústeres mediante la consola deben tener al menos los siguientes roles:

roles/container.viewer. Este rol permite a los usuarios ver la página Clústeres de GKE y otros recursos de contenedores en la consola de Google Cloud . Para obtener más información sobre los permisos incluidos en este rol, consulta Roles de Kubernetes Engine en la documentación de gestión de identidades y accesos.
roles/gkehub.viewer. Este rol permite a los usuarios ver clústeres fuera de Google Cloud en la Google Cloud consola. Ten en cuenta que este es uno de los roles necesarios para acceder a kubectl. Si ya has asignado este rol a un usuario, no es necesario que lo vuelvas a hacer. Para obtener información sobre los permisos incluidos en este rol, consulta Roles de GKE Hub en la documentación de IAM.

Para obtener más información sobre cómo conceder roles y permisos de gestión de identidades y accesos, consulta el artículo Conceder, cambiar y revocar el acceso a los recursos.

Para obtener información sobre cómo iniciar sesión en el clúster desde la consola, consulta Iniciar sesión con tu identidad de Google Cloud .

Usar Grupos de Google

Para conectarte a tu clúster como miembro de un grupo de Google, consulta Conectar grupos de Google a GKE en Azure.

Autenticarse con OIDC

Para obtener información sobre cómo autenticarte en tu clúster con OIDC, consulta Gestionar la identidad con GKE Identity Service.

Autenticar con identidades externas

Para obtener información sobre cómo autenticarte en tu clúster con identidades externas, consulta Autenticarse con identidades externas.

Conectarse al plano de control del clúster

Todos los clústeres de GKE en Azure se crean en subredes privadas. Toda la infraestructura del clúster subyacente (por ejemplo, los nodos y los endpoints del balanceador de carga) se aprovisiona solo con direcciones IP privadas RFC 1918.

Para gestionar tu clúster directamente, debes poder conectarte al balanceador de carga del plano de control de tu clúster. Si tu clúster no puede conectarse directamente a tu plano de control, pero sí puede establecer conexiones salientes, puedes conectarte al plano de control a través de Connect Gateway, un proxy inverso alojado en Google para tu clúster. Para obtener más información, consulta Conectarse a clústeres registrados con la pasarela Connect.

También puedes conectarte a través del servicio ExpressRoute de Azure.