Accede

En esta página, se explica cómo acceder a tus cargas de trabajo y recursos, y cómo administrarlos en Google Distributed Cloud (GDC) aislado. En él, se describe cómo autenticarse, generar archivos kubeconfig para recursos zonales y globales, y administrar la inactividad de la sesión. Comprender estos procesos garantiza un acceso seguro y confiable a tus proyectos y cargas de trabajo.

Esta página está destinada a los públicos que pertenecen al grupo de administradores de la plataforma (como los administradores de TI) o al grupo de operadores de la aplicación (como los desarrolladores de aplicaciones) que desean usar los recursos de GDC. Para obtener más información, consulta Audiences for GDC air-gapped documentation.

Puedes acceder a las cargas de trabajo con la consola de GDC, la CLI de gdcloud o la CLI de kubectl.

Autentica tu cuenta para obtener acceso

Para acceder a la consola de GDC o a un clúster, sigue estos pasos:

Console

Abre la siguiente URL en una nueva pestaña del navegador para acceder a la interfaz de usuario (IU) de Distributed Cloud:

https://GDC_URL

Reemplaza GDC_URL por el nombre de dominio que usas para acceder a Distributed Cloud y que proporciona el operador de infraestructura (IO). Cuando abres cualquier URL por primera vez, Distributed Cloud te redirecciona a la página de acceso de tu proveedor de identidad si el operador de infraestructura (IO) configuró la página.

Por ejemplo, en la siguiente imagen, se accede a la IU de la consola de una organización llamada org-1:

IU de la consola que muestra la pantalla de bienvenida del proyecto org-1.

CLI

Cuando accedes a la CLI de gcloud, usas el comando gdcloud auth login para autenticar una principal en la CLI de gcloud. La CLI de gcloud usa ese principal para la autenticación y autorización a fin de administrar recursos y servicios de Google Cloud .

Antes de acceder, asegúrate de hacer lo siguiente:

  • Descarga el objeto binario de la CLI de gdcloud y, luego, instálalo en tu sistema. Para obtener más información, consulta Descarga la CLI de gdcloud.
  • Configura e inicializa la configuración predeterminada de la CLI de gdcloud. Asegúrate de establecer la URL de organización correcta, que se usa para recuperar el extremo de configuración de acceso. Para obtener más información, consulta Instalación de la CLI de gcloud.
  • Instala el complemento de autenticación gdcloud-k8s-auth-plugin. Para obtener más información, consulta Autenticación de gcloud CLI.

Para acceder a un servidor de la API de Management o a un clúster de Kubernetes, completa los siguientes pasos:

  • Servidor de la API de Management:

  1. Exporta la ruta de acceso en la que deseas almacenar el archivo kubeconfig del servidor de la API de Management:

    export KUBECONFIG=MANAGEMENT_API_SERVER

    Reemplaza MANAGEMENT_API_SERVER por la ruta de acceso al directorio en el que se almacenará el archivo kubeconfig.

  2. Autentica tu instancia de gcloud CLI para acceder. Existen dos formas de autenticarse:

    • Acceso estándar al navegador: Usa este flujo de autenticación cuando accedas desde un navegador.

      gdcloud auth login

    • Acceso en un dispositivo secundario: Usa este flujo de autenticación si tu dispositivo principal no tiene un navegador disponible. Este flujo inicia el acceso en el dispositivo principal sin acceso al navegador y continúa el acceso con el dispositivo secundario que tiene acceso al navegador.

      Inicia el acceso en tu dispositivo principal sin navegador:

      gdcloud auth login --no-browser

      La variable de entorno KUBECONFIG se actualiza con los archivos kubeconfig de todos los servidores de API y clústeres de la organización. Si no se configura la variable KUBECONFIG, la CLI de kubectl usa el archivo kubeconfig predeterminado almacenado en $HOME/.kube/config.

      Para omitir la edición de los archivos kubeconfig, agrega la marca --skip-kubeconfig-update a tu comando. Por ejemplo:

      gdcloud auth login --no-browser --skip-kubeconfig-update

      Copia el resultado del comando de la CLI de gdcloud que se imprimió y ejecútalo en una máquina con acceso al navegador.

  3. Sigue las instrucciones de la página web para completar el proceso de acceso.

    Cuando se completa el acceso correctamente, el navegador muestra el mensaje Authentication successful. Cierra esta ventana.

  4. Sigue las instrucciones que aparecen en la terminal. Si el acceso se realiza correctamente, la terminal mostrará el mensaje: You are now logged in.

  • Clúster de Kubernetes:

  1. Autentica tu instancia de gcloud CLI para acceder. Existen dos formas de autenticarse:

    • Acceso estándar al navegador: Usa este flujo de autenticación cuando accedas desde un navegador.

      gdcloud auth login

    • Acceso en un dispositivo secundario: Usa este flujo de autenticación si tu dispositivo principal no tiene un navegador disponible. Este flujo inicia el acceso en el dispositivo principal sin acceso al navegador y continúa el acceso con el dispositivo secundario que tiene acceso al navegador.

      1. Inicia el acceso en tu dispositivo principal sin navegador:

        gdcloud auth login --no-browser

        El comando en el dispositivo principal imprime otro comando gdcloud que debes ejecutar en el dispositivo secundario en el paso c.

      2. Repite el paso 1 para descargar el certificado en el dispositivo secundario.

      3. Para completar el acceso en el dispositivo secundario, ingresa el comando que se imprimió en el dispositivo principal en el paso a.

    Esta acción abre un navegador para acceder al proveedor de identidad (IdP) configurado. Proporciona el usuario y la contraseña que configuraste durante la configuración inicial de la CLI de gcloud para acceder.

  2. Exporta tu archivo kubeconfig de identidad del usuario como una variable:

    export KUBECONFIG=/tmp/admin-kubeconfig-with-user-identity.yaml

  3. Genera un archivo kubeconfig con tu identidad de usuario:

    gdcloud clusters get-credentials CLUSTER_NAME --zone ZONE

    Reemplaza ZONE por el nombre de la zona.

    Se genera un archivo kubeconfig con tu identidad de usuario. En el siguiente archivo YAML, se muestra un ejemplo:

    apiVersion: v1
clusters:
- cluster:
  certificate-authority-data: <REDACTED>
  server: https://10.200.0.32:443
name: cluster-name
contexts:
- context:
  cluster: cluster-name
  user: cluster-name-anthos-default-user
name: cluster-name-cluster-name-anthos-default-user
current-context: cluster-name-cluster-name-anthos-default-user
kind: Config
preferences: {}
users:
- name: cluster-name-anthos-default-user
user:
  exec:
    apiVersion: client.authentication.k8s.io/v1
    args:
    - --audience=root-admin
    command: gdcloud-k8s-auth-plugin
    env: null
    installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use plugin
    interactiveMode: Never
    provideClusterInfo: false

  4. Para verificar que puedes acceder al clúster, accede con el archivo kubeconfig generado con una identidad de usuario:

    kubectl --kubeconfig /tmp/admin-kubeconfig-with-user-identity.yaml version

Salir

Para salir de la consola de GDC, haz lo siguiente:

Console

Haz clic en Cerrar sesión en la barra de menú.

CLI

Sal de la CLI:

gdcloud auth revoke

Genera manualmente el archivo kubeconfig

Si administras recursos con la CLI de kubectl llamando directamente a las APIs de KRM, debes generar el archivo kubeconfig para el clúster o el servidor de API que aloja tu recurso, según el tipo de recurso que administres.

También debes conocer la configuración de tu universo de GDC para determinar las zonas en las que deseas implementar tus recursos zonales o el servidor de la API global para los recursos globales. Para obtener más información, consulta Servidores de API globales y zonales.

Determina si el recurso que manipulas es global o zonal. Si no tienes certeza, visita la documentación específica del recurso para obtener ayuda.

Completa la configuración aplicable según tu tipo de recurso.

Recursos del servidor de la API de Zonal Management

Completa los siguientes pasos para generar tu archivo kubeconfig para el servidor de la API de Management zonal:

  1. Para ver todas las zonas disponibles, haz lo siguiente:

    gdcloud zones list

    Anota el nombre de la zona que aloja tu recurso personalizado.

  2. Establece la variable de entorno ZONE en la zona que aloja tus recursos zonales:

    export ZONE="ZONE"

    Reemplaza ZONE por el nombre de la zona.

  3. Establece la variable de entorno MANAGEMENT_API_SERVER:

    export MANAGEMENT_API_SERVER="ORG_NAME-admin"

    Reemplaza ORG_NAME por el nombre de tu organización, como org-1.

  4. Genera el archivo kubeconfig del servidor de la API de Management para la zona objetivo y valida las credenciales:

    export KUBECONFIG=${HOME}/${MANAGEMENT_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${MANAGEMENT_API_SERVER:?} --zone ${ZONE:?}
[[ $(kubectl config current-context) == *${MANAGEMENT_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no quieres reemplazar o quitar el archivo existente, crea una copia de seguridad en otra ubicación segura.

Recursos de clústeres zonales de Kubernetes

Completa los siguientes pasos para generar tu archivo kubeconfig para el clúster de Kubernetes zonal:

  1. Para ver todas las zonas disponibles, haz lo siguiente:

    gdcloud zones list

    Anota el nombre de la zona que aloja tu recurso personalizado.

  2. Establece la variable de entorno ZONE en la zona que aloja tu clúster de Kubernetes:

    export ZONE="ZONE"

    Reemplaza ZONE por el nombre de la zona.

  3. Establece la variable de entorno KUBERNETES_CLUSTER:

    export KUBERNETES_CLUSTER="KUBERNETES_CLUSTER_NAME"

    Reemplaza KUBERNETES_CLUSTER_NAME por el nombre de tu clúster de Kubernetes.

  4. Genera el archivo kubeconfig del clúster de Kubernetes para la variable de zona de destino y valida las credenciales:

    export KUBECONFIG=${HOME}/${KUBERNETES_CLUSTER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${KUBERNETES_CLUSTER:?} --zone ${ZONE:?}
[[ $(kubectl config current-context) == *${KUBERNETES_CLUSTER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no quieres reemplazar o quitar el archivo existente, crea una copia de seguridad en otra ubicación segura.

Recursos del servidor de la API global

Completa los siguientes pasos para generar tu archivo kubeconfig para el servidor de API global:

  1. Establece la variable de entorno GLOBAL_API_SERVER:

    export GLOBAL_API_SERVER="global-api"

  2. Genera el archivo kubeconfig del servidor de la API global y valida las credenciales:

    export KUBECONFIG=${HOME}/${GLOBAL_API_SERVER:?}-kubeconfig.yaml
rm ${KUBECONFIG:?}
gdcloud clusters get-credentials ${GLOBAL_API_SERVER:?}
[[ $(kubectl config current-context) == *${GLOBAL_API_SERVER:?}* ]] && echo "Success. Your kubeconfig is at $KUBECONFIG" || echo "Failure"

    El comando rm ${KUBECONFIG:?} quita el archivo kubeconfig existente en el directorio principal. Cuando generas un archivo kubeconfig nuevo, se reemplaza el existente. Si no quieres reemplazar o quitar el archivo existente, crea una copia de seguridad en otra ubicación segura.

Cierre de sesión por inactividad

Después de quince minutos o más de inactividad en una sesión, la consola de GDC y la CLI de gdcloud te desconectan. Distributed Cloud considera la inactividad de la sesión como un período durante una sesión abierta sin participación activa de tu parte, como la falta de movimiento del cursor o del teclado. Una sesión activa dura hasta doce horas con actividad del usuario.

Console

En caso de inactividad en la sesión, la consola de GDC cierra tu sesión. Dos minutos antes de que la consola de GDC cierre tu sesión por inactividad, recibirás un diálogo que te advertirá sobre el cierre de sesión:

IU de la consola que muestra un diálogo con un temporizador de 99 segundos antes de cerrar la sesión del usuario por inactividad.

Después de cerrar la sesión por inactividad, verás la siguiente pantalla:

La IU de la consola muestra la pantalla de acceso con un banner que contiene texto sobre el cierre de sesión: &quot;Se cerró tu sesión en el sistema porque estuvo inactiva durante demasiado tiempo. Vuelve a acceder o comunícate con el administrador para obtener ayuda&quot;.

Para volver a acceder a la consola de GDC, selecciona tu proveedor de identidad y agrega tus credenciales de acceso. Si usas un servicio, como el panel de supervisión, y la consola de GDC te desconecta por inactividad, vuelve a acceder para obtener acceso.

gdcloud

En caso de inactividad de la sesión, la CLI de gcloud te desconecta. Después de que la CLI de gcloud cierre tu sesión y que intentes ejecutar un comando, recibirás un error de autorización:

Error: error when creating kube client: unable to create k8sclient: Unauthorized

Para volver a acceder a GDC, sigue los pasos de la CLI en Accede.

Si vuelves a acceder a GDC a través de un servidor de la API de Management, tu archivo kubeconfig se actualizará automáticamente. Para evitar que se actualice tu archivo kubeconfig, usa la marca --skip-kubeconfig-update en el comando gdcloud auth login.

kubectl

La CLI de gdcloud hace que tus archivos kubeconfig venzan después de un período de inactividad de la sesión. Si intentas ejecutar un comando kubectl después de un período de inactividad, recibirás un error de autorización:

error: You must be logged in to the server (Unauthorized)

Para volver a acceder y usar tu archivo kubeconfig, sigue los pasos de la CLI en Acceder. Para cada tiempo de espera de la sesión, debes volver a generar tus archivos kubeconfig.

Supervisa las actividades de acceso y de usuarios nuevos

Las actividades, como el acceso, se exportan como registros de auditoría. Para obtener más información sobre cómo ver los registros de auditoría, consulta Registros de auditoría.