本文說明如何以程式輔助方式驗證 Google Kubernetes Engine。如何向 Google Kubernetes Engine 進行驗證,取決於您用來存取 API 的介面,以及程式碼執行的環境。
您可以使用 GKE API 與執行 Kubernetes 的基礎架構互動,例如 GKE 叢集和節點。 Google Cloud如要與 Pod 和服務等 Kubernetes 物件互動,您必須驗證 Kubernetes API,這與 GKE API 不同,且由每個叢集中的 Kubernetes API 伺服器提供服務。如需操作說明,請參閱「對 Kubernetes API 伺服器進行驗證」。
如要從 GKE 中執行的工作負載存取其他 Google Cloud 資源 (例如 Cloud Storage 值區),請使用 Workload Identity Federation for GKE。
如要進一步瞭解 Google Cloud 驗證,請參閱「驗證方法」。
透過 API 存取
GKE 支援程式輔助存取。您可以透過下列方式存取 API:
用戶端程式庫
GKE 用戶端程式庫提供高階語言支援,可透過程式輔助驗證 GKE。為驗證對 Google Cloud API 的呼叫,用戶端程式庫支援應用程式預設憑證 (ADC);程式庫會在定義的一組位置中尋找憑證,並使用這些憑證驗證對 API 的要求。使用 ADC,您可以在各種環境 (例如本機開發或正式版) 中,為應用程式提供憑證,無須修改應用程式程式碼。
Google Cloud CLI
使用 gcloud CLI 存取 GKE 時,您需要登入 gcloud CLI 並提供使用者帳戶,gcloud CLI 指令會使用該帳戶的憑證。
如果貴機構的安全政策禁止使用者帳戶具備必要權限,您可以採用服務帳戶模擬。
詳情請參閱「驗證 gcloud CLI 的使用權」。如要進一步瞭解如何搭配使用 gcloud CLI 與 GKE,請參閱 gcloud CLI 參考頁面。
REST
您可以使用 gcloud CLI 憑證或應用程式預設憑證,向 GKE API 進行驗證。如要進一步瞭解如何驗證 REST 要求,請參閱「驗證以使用 REST」。如要瞭解憑證類型,請參閱「gcloud CLI 憑證和 ADC 憑證」。
後續步驟
- 對 Kubernetes API 伺服器進行驗證。
- 使用外部識別資訊提供者向 GKE 進行驗證。
- 使用 GKE 適用的工作負載身分聯盟,從 GKE 向 API 驗證身分。 Google Cloud
- 瞭解 GKE 和 Kubernetes 中的存取權控管。
- 瞭解 GKE API 和 Kubernetes API。
- 瞭解Google Cloud 驗證方法。
- 請參閱驗證用途清單。