Esta página está dirigida a administradores y operadores de TI que desean configurar, supervisar y administrar la infraestructura en la nube. Para obtener más información sobre los roles comunes y las tareas de ejemplo que mencionamos en Google Cloud contenido, consulte Roles y tareas de usuario comunes de GKE Enterprise .
Archivo de configuración de Kubernetes
Kubernetes usa un archivo YAML llamado kubeconfig para almacenar la información de autenticación del clúster para kubectl . kubeconfig contiene una lista de contextos a los que kubectl hace referencia al ejecutar comandos. De forma predeterminada, el archivo se guarda en $HOME/.kube/config .
Un contexto es un grupo de parámetros de acceso. Cada contexto contiene un clúster de Kubernetes, un usuario y un espacio de nombres. El contexto actual es el clúster predeterminado para kubectl : todos los comandos kubectl se ejecutan en ese clúster.
Después de crear un clúster, siga los pasos de Generar una entrada kubeconfig para agregar el contexto del clúster a su kubeconfig local.
Puntos finales privados
Todos los clústeres tienen un punto de conexión canónico. Este punto de conexión expone el servidor de la API de Kubernetes que kubectl y otros servicios utilizan para comunicarse con el plano de control del clúster a través del puerto TCP 443. En AWS, este punto de conexión es un nombre DNS que solo se puede resolver dentro del clúster; por ejemplo, gke-abcdefghijk-cp-ffabcdef123456.elb.us-west-1.amazonaws.com . Este punto de conexión no es accesible en la red pública de Internet. Puede obtener la dirección del punto de conexión privado del clúster en el campo endpoint de la salida del comando gcloud container aws clusters describe .
Conectar el punto final de la puerta de enlace
De forma predeterminada, el comando gcloud container aws clusters get-credentials genera un kubeconfig que usa la puerta de enlace Connect . Con este kubeconfig , kubectl usa Connect, que reenvía el tráfico de forma segura al punto de conexión privado en su nombre. Al usar la puerta de enlace Connect, el punto de conexión se ve así: https://connectgateway.googleapis.com/v1/projects/ PROJECT_NUMBER /memberships/ CLUSTER_NAME , donde PROJECT_NUMBER es el número de su proyecto y CLUSTER_NAME es el nombre de su clúster.
Si tiene acceso al punto de conexión privado de su clúster a través de su VPC, puede conectarse directamente a él. Para generar un kubeconfig usando el punto de conexión privado, use el comando gcloud container aws clusters get-credentials --private-endpoint .
Acerca de la autenticación para kubectl
Todos los GKE en AWS están configurados para aceptar Google CloudIdentidades de usuarios y cuentas de servicio, validando las credenciales presentadas por kubectl y recuperando la dirección de correo electrónico asociada a la identidad de usuario o cuenta de servicio. Por lo tanto, las credenciales de dichas cuentas deben incluir el ámbito OAuth userinfo.email para una autenticación correcta.
Al usar gcloud para configurar kubeconfig de su entorno para un clúster nuevo o existente, gcloud proporciona kubectl las mismas credenciales que usa gcloud . Por ejemplo, si usa gcloud auth login , sus credenciales personales se proporcionan a kubectl , incluido el ámbito userinfo.email . Esto permite que GKE en AWS autentique al cliente kubectl .
Una vez que los usuarios o Google Cloud Las cuentas de servicio se autentican y deben estar autorizadas para realizar cualquier acción en GKE en AWS. El administrador del clúster es responsable de configurar el control de acceso basado en roles adecuado para la autorización.