已新增至機群的所有叢集都會顯示在 Google Cloud 控制台中。
Google Cloud 控制台提供集中式使用者介面,方便您管理所有 Kubernetes 叢集及其資源,無論這些叢集在何處執行。所有資源都會顯示在單一資訊主頁中,方便您查看多個 Kubernetes 叢集的工作負載。如要進一步瞭解如何在Google Cloud 控制台中使用叢集,請參閱 Google Cloud GKE 說明文件。
如果是 Google Cloud上的 GKE 叢集,只要您具備相關權限,就能查看節點和工作負載等叢集詳細資料。權限列於後續章節「必要角色」。
如果機群包含外部叢集 Google Cloud,您必須登入這些叢集,並在 Google Cloud 控制台中查看詳細資料。詳情請參閱下節「登入叢集」。
必要的角色
如果您不是專案擁有者,至少必須具備下列 Identity and Access Management 角色,才能在 Google Cloud 控制台中查看叢集:
roles/container.viewer。這個角色可讓使用者在 Google Cloud 控制台中查看 GKE 叢集頁面和其他容器資源。如要瞭解這個角色包含的權限,或授予具備讀取/寫入權限的角色,請參閱 IAM 說明文件中的「Kubernetes Engine 角色」。roles/gkehub.viewer。使用者可透過這個角色在 Google Cloud 控制台中查看外部叢集。Google Cloud 如要進一步瞭解這個角色包含的權限,或授予具備讀取/寫入權限的角色,請參閱 IAM 說明文件中的「GKE Hub 角色」。roles/gkeonprem.viewer。Google Distributed Cloud 使用者除了roles/gkehub.viewer之外,還必須具備這個角色,才能在 Google Cloud 控制台中查看裸機或 VMware 上的內部部署叢集。如要進一步瞭解這個角色包含的權限,或授予具備讀取/寫入權限的角色,請參閱 IAM 說明文件中的「GKE on-prem 角色」。
查看已註冊的叢集
將叢集註冊至專案機群後,該叢集會顯示在Google Cloud 控制台的「GKE 叢集」清單中。 不過,如要查看Google Cloud以外任何叢集的節點和工作負載等詳細資料,您必須登入並驗證叢集。需要登入的叢集會顯示橘色的警示三角形,並提示您登入。下例顯示 GKE「Clusters」(叢集) 頁面,其中有兩個叢集位於 Google Cloud 外部,需要登入。
登入叢集後,即可選取叢集並查看叢集詳細資料。這些詳細資料與 GKE on Google Cloud 叢集顯示的資料相同。
登入叢集
如果機群包含外部叢集 Google Cloud,平台管理員必須設定驗證,您才能登入這些叢集,並在 Google Cloud 控制台中查看詳細資料。
您必須知道平台管理員設定的驗證方法,才能登入 Google Cloud 控制台。請詢問平台管理員已設定下列哪種驗證方法:
然後按照下列章節的指示,使用相關的驗證方法登入叢集。
使用您的 Google Cloud 身分登入
如果叢集已設定為使用您的Google Cloud 身分,請按照下列步驟登入:
在 Google Cloud 控制台中開啟「GKE Clusters」(GKE 叢集) 頁面。
選取要登入的一或多個叢集,勾選對應的核取方塊。 選取多個叢集時:
如要選取頁面上顯示的所有叢集,請勾選表格標題列中的核取方塊。
如要選取專案中所有未登入的叢集,請選取「登入」選項,該選項會隨附您未登入特定數量叢集的警告訊息。
按一下選單列中的「登入」。
選取「使用 Google 帳戶登入」。
按一下 [Log in] (登入)。
使用 OpenID Connect (OIDC) 登入
請注意,雖然 GKE Identity Service 也支援 LDAP 識別資訊提供者,但只有 OIDC 提供者支援使用 Google Cloud 控制台登入。
如果使用 ClientConfig 中的 azuread 錨點,將 Microsoft Entra ID (Azure AD) 設為叢集的 OIDC 身分識別提供者,請改為按照「使用 Microsoft Entra ID (Azure AD) 登入」一文中的操作說明進行。
如果叢集已設定為透過 GKE Identity Service 使用 OIDC 識別資訊提供者,請按照下列步驟登入:
在 Google Cloud 控制台中開啟「GKE Clusters」(GKE 叢集) 頁面。
選取要登入的一或多個叢集,勾選對應的核取方塊。 選取多個叢集時:
如要選取頁面上顯示的所有叢集,請勾選表格標題列中的核取方塊。
如要選取專案中所有未登入的叢集,請選取「登入」選項,該選項會隨附您未登入特定數量叢集的警告訊息。
按一下選單列中的「登入」。
選取「Authenticate with identity provider configured for the cluster」。系統會將您重新導向至身分識別提供者,您可能需要登入或同意 Google Cloud 控制台存取您的帳戶。
按一下 [Log in] (登入)。
使用 Microsoft Entra ID (Azure AD) 登入
如果叢集已設定為使用 Microsoft Entra ID (Azure ID),並透過 GKE Identity Service 使用 azuread 錨點 (也稱為 Azure AD 進階設定),請按照下列步驟登入:
在 Google Cloud 控制台中開啟「GKE Clusters」(GKE 叢集) 頁面。
選取要登入的一或多個叢集,勾選對應的核取方塊。 選取多個叢集時:
如要選取頁面上顯示的所有叢集,請勾選表格標題列中的核取方塊。
如要選取專案中所有未登入的叢集,請選取「登入」選項,該選項會隨附您未登入特定數量叢集的警告訊息。
按一下選單列中的「登入」。
選取「使用 Microsoft Entra ID (原稱 Azure AD) 進行驗證」。系統會將您重新導向至身分識別提供者,您可能需要登入或同意 Google Cloud 控制台存取您的帳戶。
按一下 [Log in] (登入)。
使用第三方身分和 Connect Gateway 登入
如果叢集已設定為透過 Connect 閘道使用第三方身分,您可以在Google Cloud 員工身分聯盟控制台 (又稱控制台 (聯合)) 中,使用第三方身分登入叢集。系統不支援從一般 Google Cloud 控制台登入。
登入步驟如下:
- 前往Google Cloud 員工身分聯盟控制台,輸入供應商 ID,然後使用識別資訊提供者登入。平台管理員應提供登入所需的所有詳細資料。如要進一步瞭解如何設定,請參閱「設定使用者對控制台的存取權 (已聯合)」。
在 Google Cloud 控制台中開啟「GKE Clusters」(GKE 叢集) 頁面。
選取要登入的一或多個叢集,勾選對應的核取方塊。 選取多個叢集時:
如要選取頁面上顯示的所有叢集,請勾選表格標題列中的核取方塊。
如要選取專案中所有未登入的叢集,請選取「登入」選項,該選項會隨附您未登入特定數量叢集的警告訊息。
按一下選單列中的「登入」。
選取「使用第三方身分識別提供者登入」。
按一下 [Log in] (登入)。
使用不記名憑證登入
如果叢集已設定為使用 Kubernetes 服務帳戶的不記名權杖,請按照下列步驟操作:
在 Google Cloud 控制台中開啟「GKE Clusters」(GKE 叢集) 頁面。
選取要登入的一或多個叢集,勾選對應的核取方塊。 選取多個叢集時:
如要選取頁面上顯示的所有叢集,請勾選表格標題列中的核取方塊。
如要選取專案中所有未登入的叢集,請選取「登入」選項,該選項會隨附您未登入特定數量叢集的警告訊息。
按一下選單列中的「登入」。
選取「Token」(憑證),然後在「Token」(憑證) 欄位填入 KSA 不記名憑證。
按一下 [Log in] (登入)。
稽核
透過 Google Cloud 主控台可以存取叢集 API 伺服器中的稽核記錄。
後續步驟
請點選下列連結瞭解更多資訊:
- 在 GKE 說明文件中,瞭解如何透過 Google Cloud 控制台使用叢集
- 在 Google Cloud 控制台中透過 GKE Enterprise 總覽查看叢集狀態和資源用量
- 在「保護機群安全」中設定機群叢集的驗證機制
透過指令列連線至機群叢集: