Das in dieser Dokumentation beschriebene Produkt GKE on AWS befindet sich jetzt im Wartungsmodus und wird am 17. März 2027 eingestellt.

Diese Seite wurde von der Cloud Translation API übersetzt.

Verbindung zum Cluster herstellen und authentifizieren

Auf dieser Seite wird erläutert, wie Sie eine Verbindung zu GKE on AWS herstellen und sich authentifizieren.

Sie haben mehrere Möglichkeiten, sich bei GKE-Clustern zu authentifizieren. Bei allen folgenden Optionen wird davon ausgegangen, dass das Connect-Gateway oder der Nutzer eine Verbindung zur Steuerungsebene Ihres Clusters herstellen kann:

Google-Identität: Die Standardoption zur Authentifizierung, die von GKE on AWS ohne zusätzliche Konfiguration bereitgestellt wird.
Open ID Connect (OIDC) oder AWS IAM: Wird vom GKE Identity Service unterstützt

Google-Identitätsauthentifizierung

Standardmäßig gewährt die GKE Multi-Cloud API dem Nutzer, der den Cluster erstellt, die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Kubernetes, mit der er sich mit seiner Google-Identität beim Cluster authentifizieren kann. Der Nutzer, der den Cluster erstellt hat, kann andere Nutzer als Administratornutzer mit vollständigem Administratorzugriff auf den Cluster hinzufügen.

Zusätzlich zur RBAC-Berechtigungsrichtlinie, die Administratoren die Rolle clusterrole/cluster-admin gewährt, konfiguriert die GKE Multi-Cloud API eine Identitätsrichtlinie, die den Connect-Agent autorisiert, Anfragen im Namen eines Administratornutzers an den Kubernetes API-Server zu senden.

Sie können sich mit Ihrer Google-Identität auf folgende Weise bei Ihrem Cluster authentifizieren:

kubectl mit der Identität über die gcloud CLI verwenden

Sie können mit der Google Cloud CLI eine kubeconfig erstellen, die die Identität des Nutzers verwendet, der mit gcloud auth login authentifiziert ist. Anschließend können Sie mit kubectl auf den Cluster zugreifen.

Wenn ein Administrator kein Projektinhaber ist, muss er für den Zugriff auf kubectl über das Connect-Gateway mindestens die folgenden Rollen im Projekt haben:

roles/gkehub.gatewayAdmin: Mit dieser Rolle kann ein Nutzer auf die Connect-Gateway-API zugreifen, um den Cluster mithilfe von kubectl zu verwalten.
- Wenn ein Nutzer nur Lesezugriff auf verbundene Cluster benötigt, können Sie stattdessen roles/gkehub.gatewayReader gewähren.
- Wenn ein Nutzer Lese-/Schreibzugriff auf verbundene Cluster benötigt, können Sie roles/gkehub.gatewayEditor gewähren.
roles/gkehub.viewer: Mit dieser Rolle kann ein Nutzer Cluster-kubeconfigs abrufen.

Weitere Informationen zu den in diesen Rollen enthaltenen Berechtigungen finden Sie in der IAM-Dokumentation unter GKE-Hub-Rollen.

Weitere Informationen zum Erteilen von IAM-Berechtigungen und -Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Nachdem ein Administrator die erforderlichen Rollen hat, folgen Sie der Anleitung unter Clusterzugriff für kubectl konfigurieren.

Google Cloud Console verwenden

Administratoren, die keine Projektinhaber sind und über die Console mit Clustern interagieren möchten, benötigen mindestens die folgenden Rollen:

roles/container.viewer. Mit dieser Rolle können Nutzer die GKE-Clusterseite und andere Containerressourcen in der Google Cloud Console aufrufen. Weitere Informationen zu den Berechtigungen, die in dieser Rolle enthalten sind, finden Sie in der IAM-Dokumentation unter Kubernetes Engine-Rollen.
roles/gkehub.viewer Mit dieser Rolle können Nutzer Cluster außerhalb vonGoogle Cloud in der Google Cloud Console aufrufen. Beachten Sie, dass dies eine der Rollen ist, die für den kubectl-Zugriff erforderlich ist. Wenn Sie einem Nutzer diese Rolle bereits gewährt haben, müssen Sie sie nicht noch einmal gewähren. Weitere Informationen zu den Berechtigungen, die in dieser Rolle enthalten sind, finden Sie in der IAM-Dokumentation unter GKE-Hub-Rollen.

Weitere Informationen zum Erteilen von IAM-Berechtigungen und -Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Informationen zum Anmelden in der Console in einem Cluster finden Sie unter Mit Ihrer Google Cloud -Identität anmelden.

Google Groups verwenden

Informationen zum Herstellen einer Verbindung zu Ihrem Cluster als Mitglied einer Google-Gruppe finden Sie unter Google-Gruppen mit GKE on AWS verbinden.

Mit OIDC authentifizieren

Informationen zur Authentifizierung bei Ihrem Cluster mit OIDC finden Sie unter Identität mit GKE Identity Service verwalten.

Mit AWS IAM authentifizieren

Informationen zur Authentifizierung bei Ihrem Cluster mit AWS IAM finden Sie unter Identität mit GKE Identity Service verwalten.

Mit externen Identitäten authentifizieren

Informationen zur Authentifizierung bei Ihrem Cluster mit externen Identitäten finden Sie unter Mit externen Identitäten authentifizieren.

Verbindung zur Steuerungsebene Ihres Clusters herstellen

Alle GKE on AWS-Cluster werden in privaten Subnetzen erstellt. Die gesamte zugrunde liegende Clusterinfrastruktur (z. B. Knoten- und Load-Balancer-Endpunkte) wird nur mit privaten RFC 1918-IP-Adressen bereitgestellt.

Zum direkten Verwalten des Clusters müssen Sie eine Verbindung zum Load-Balancer der Steuerungsebene Ihres Clusters herstellen können. Wenn Ihr Cluster keine direkte Verbindung zu Ihrer Steuerungsebene, aber ausgehende Verbindungen herstellen kann, können Sie über den von Google gehosteten Reverse-Proxy zu Ihrem Cluster eine Verbindung zur Steuerungsebene herstellen. Weitere Informationen finden Sie unter Verbindung zu registrierten Clustern mit dem Connect-Gateway herstellen.

Sie können auch eine Verbindung über AWS Direct Connect herstellen.

Verbindung zum Cluster herstellen und authentifizieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.