O produto descrito nesta documentação, o GKE no Azure, encontra-se agora no modo de manutenção e vai ser encerrado a 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Ligue-se e autentique-se no seu cluster

Esta página explica como estabelecer ligação e autenticar no GKE no Azure.

Tem várias opções para se autenticar em clusters do GKE. Todas as opções seguintes pressupõem que o gateway de ligação ou o utilizador consegue ligar-se ao plano de controlo do cluster:

Identidade Google: a opção de autenticação predefinida fornecida pelo GKE no Azure sem configuração adicional.
Open ID Connect (OIDC) : suportado pelo GKE Identity Service

Autenticação de identidade Google

Por predefinição, a API GKE Multi-Cloud concede ao utilizador que cria o cluster as políticas de controlo de acesso baseado em funções (RBAC) do Kubernetes que permitem ao utilizador autenticar-se no cluster através da respetiva identidade Google. O utilizador que criou o cluster pode adicionar outros utilizadores como utilizadores administradores com acesso administrativo total ao cluster.

Além da política de autorizações RBAC que concede a função clusterrole/cluster-admin aos utilizadores administradores, a API GKE Multi-Cloud configura uma política de roubo de identidade que autoriza o agente Connect a enviar pedidos para o servidor da API Kubernetes em nome de um utilizador administrador.

Pode autenticar-se no cluster com a sua identidade Google das seguintes formas:

Use o kubectl com a identidade da CLI gcloud

Pode usar a CLI do Google Cloud para criar um kubeconfig que use a identidade do utilizador autenticado com gcloud auth login. Em seguida, pode usar kubectl para aceder ao cluster.

Para o acesso kubectl quando usar a gateway Connect, se um utilizador administrador não for proprietário do projeto, no mínimo, tem de lhe ser concedidas as seguintes funções no projeto:

roles/gkehub.gatewayAdmin: esta função permite que um utilizador aceda à API do gateway Connect para usar o kubectl para gerir o cluster.
- Se um utilizador só precisar de acesso só de leitura a clusters ligados, pode conceder-lhe a função roles/gkehub.gatewayReader.
- Se um utilizador precisar de acesso de leitura / escrita a clusters ligados, pode conceder roles/gkehub.gatewayEditor.
roles/gkehub.viewer: esta função permite que um utilizador obtenha o cluster kubeconfigs.

Para ver detalhes sobre as autorizações incluídas nestas funções, consulte o artigo Funções do GKE Hub na documentação do IAM.

Pode saber mais sobre a concessão de autorizações e funções de IAM no artigo Conceder, alterar e revogar o acesso a recursos.

Depois de um utilizador administrador ter as funções necessárias, siga os passos em Configure o acesso ao cluster para o kubectl.

Use a Google Cloud consola

Os utilizadores administradores que não são proprietários do projeto e querem interagir com clusters através da consola precisam, no mínimo, das seguintes funções:

roles/container.viewer. Esta função permite que os utilizadores vejam a página Clusters do GKE e outros recursos de contentores na Google Cloud consola. Para ver detalhes sobre as autorizações incluídas nesta função, consulte o artigo Funções do Kubernetes Engine na documentação do IAM.
roles/gkehub.viewer. Esta função permite que os utilizadores vejam clusters fora do Google Cloud no Google Cloud console. Tenha em atenção que esta é uma das funções necessárias para o acesso ao kubectl. Se já atribuiu esta função a um utilizador, não precisa de a atribuir novamente. Para ver detalhes sobre as autorizações incluídas nesta função, consulte as funções do GKE Hub na documentação do IAM.

Pode saber mais sobre a concessão de autorizações e funções de IAM no artigo Conceder, alterar e revogar o acesso a recursos.

Para obter informações sobre como iniciar sessão no cluster a partir da consola, consulte o artigo Inicie sessão com a sua Google Cloud identidade.

Utilize o Grupos do Google

Para estabelecer ligação ao cluster como membro de um grupo Google, consulte o artigo Associar grupos Google ao GKE no Azure.

Autentique com o OIDC

Para ver informações sobre a autenticação no cluster com o OIDC, consulte o artigo Faça a gestão da identidade com o serviço de identidade do GKE.

Efetue a autenticação com identidades externas

Para obter informações sobre a autenticação no cluster com identidades externas, consulte o artigo Autentique com identidades externas.

Estabeleça ligação ao plano de controlo do cluster

Todos os GKE no Azure são criados em sub-redes privadas. Toda a infraestrutura de cluster subjacente (por exemplo, nós e pontos finais do balanceador de carga) é aprovisionada apenas com endereços IP RFC 1918 privados.

Para gerir o cluster diretamente, tem de conseguir estabelecer ligação ao balanceador de carga do plano de controlo do cluster. Se o seu cluster não conseguir ligar-se diretamente ao plano de controlo, mas conseguir estabelecer ligações de saída, pode ligar-se ao plano de controlo através do gateway Connect, um proxy inverso alojado pela Google para o seu cluster. Para mais informações, consulte o artigo Estabelecer ligação a clusters registados com a gateway Connect.

Também pode estabelecer ligação através do serviço ExpressRoute da Azure.