Il prodotto descritto in questa documentazione, GKE su Azure, è ora in modalità di manutenzione e verrà ritirato il 17 marzo 2027.

Questa pagina è stata tradotta dall'API Cloud Translation.

Connessione al cluster e autenticazione

Questa pagina spiega come connettersi e autenticarsi in GKE su Azure.

Hai a disposizione diverse opzioni per l'autenticazione ai cluster GKE. Tutte le seguenti opzioni presuppongono che il gateway di connessione o l'utente sia in grado di connettersi al control plane del cluster:

Identità Google: l'opzione di autenticazione predefinita fornita da GKE su Azure senza configurazione aggiuntiva.
Open ID Connect (OIDC) : supportato da GKE Identity Service

Autenticazione dell'identità Google

Per impostazione predefinita, l'API GKE Multi-Cloud concede all'utente che crea il cluster i criteri di controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes che consentono all'utente di autenticarsi con il cluster utilizzando la propria identità Google. L'utente che ha creato il cluster può aggiungere altri utenti come utenti amministratore con accesso amministrativo completo al cluster.

Oltre al criterio delle autorizzazioni RBAC che concede il ruolo clusterrole/cluster-admin agli utenti amministratori, l'API GKE Multi-Cloud configura un criterio di rappresentazione che autorizza l'agente Connect a inviare richieste al server API Kubernetes per conto di un utente amministratore.

Puoi autenticarti sul cluster con la tua identità Google nei seguenti modi:

Utilizzare kubectl con l'identità di gcloud CLI

Puoi utilizzare Google Cloud CLI per creare un kubeconfig che utilizza l'identità dell'utente autenticato con gcloud auth login. Puoi quindi utilizzare kubectl per accedere al cluster.

Per l'accesso kubectl quando utilizzi il gateway Connect, se un utente amministratore non è un proprietario del progetto, deve disporre almeno dei seguenti ruoli nel progetto:

roles/gkehub.gatewayAdmin: questo ruolo consente a un utente di accedere all'API del gateway Connect per utilizzare kubectl per gestire il cluster.
- Se un utente ha bisogno solo dell'accesso di sola lettura ai cluster connessi, puoi concedere roles/gkehub.gatewayReader.
- Se un utente ha bisogno dell'accesso in lettura / scrittura ai cluster connessi, puoi concedere roles/gkehub.gatewayEditor.
roles/gkehub.viewer: questo ruolo consente a un utente di recuperare kubeconfigs del cluster.

Per informazioni dettagliate sulle autorizzazioni incluse in questi ruoli, consulta la sezione Ruoli GKE Hub nella documentazione IAM.

Puoi scoprire di più sulla concessione di ruoli e autorizzazioni IAM in Concessione, modifica e revoca dell'accesso alle risorse.

Una volta che l'utente amministratore dispone dei ruoli richiesti, segui i passaggi descritti in Configurare l'accesso al cluster per kubectl.

Utilizza la console Google Cloud

Gli utenti amministratori che non sono proprietari del progetto e vogliono interagire con i cluster utilizzando la console devono disporre almeno dei seguenti ruoli:

roles/container.viewer. Questo ruolo consente agli utenti di visualizzare la pagina GKE Clusters (Cluster GKE) e altre risorse container nella console Google Cloud . Per informazioni dettagliate sulle autorizzazioni incluse in questo ruolo, consulta Ruoli Kubernetes Engine nella documentazione IAM.
roles/gkehub.viewer. Questo ruolo consente agli utenti di visualizzare i cluster al di fuori di Google Cloud nella console Google Cloud . Tieni presente che questo è uno dei ruoli richiesti per l'accesso a kubectl. Se hai già concesso questo ruolo a un utente, non è necessario concederlo di nuovo. Per informazioni dettagliate sulle autorizzazioni incluse in questo ruolo, consulta Ruoli GKE Hub nella documentazione IAM.

Puoi scoprire di più sulla concessione di ruoli e autorizzazioni IAM in Concessione, modifica e revoca dell'accesso alle risorse.

Per informazioni sull'accesso al cluster dalla console, vedi Accedere utilizzando la tua identità Google Cloud .

Utilizza Google Gruppi

Per connetterti al cluster come membro di un gruppo Google, consulta Connettere i gruppi Google a GKE su Azure.

Autenticazione con OIDC

Per informazioni sull'autenticazione al cluster con OIDC, consulta Gestire l'identità con GKE Identity Service.

Autenticarsi con identità esterne

Per informazioni sull'autenticazione al cluster con identità esterne, vedi Autenticarsi con identità esterne.

Connettiti al piano di controllo del cluster

Tutti i cluster GKE su Azure vengono creati in subnet private. Tutta l'infrastruttura del cluster sottostante (ad esempio nodi ed endpoint del bilanciamento del carico) viene sottoposta a provisioning solo con indirizzi IP RFC 1918 privati.

Per gestire direttamente il cluster, devi essere in grado di connetterti al bilanciamento del carico del control plane del cluster. Se il cluster non riesce a connettersi direttamente al piano di controllo, ma può effettuare connessioni in uscita, puoi connetterti al piano di controllo tramite Connect Gateway, un proxy inverso ospitato da Google per il tuo cluster. Per saperne di più, vedi Connessione ai cluster registrati con il gateway Connect.

Puoi anche connetterti tramite il servizio ExpressRoute di Azure.