Il prodotto descritto da questa documentazione, GKE su AWS, è ora in modalità di manutenzione e verrà chiuso il 17 marzo 2027.

Questa pagina è stata tradotta dall'API Cloud Translation.

Connessione al cluster e autenticazione

Questa pagina spiega come connetterti e autenticarti a GKE su AWS.

Esistono diverse opzioni per autenticarsi nei cluster GKE. Tutte le opzioni riportate di seguito presuppongono che il gateway Connect o l'utente sia in grado di connettersi al piano di controllo del cluster:

Identità Google: l'opzione di autenticazione predefinita fornita da GKE su AWS senza configurazione aggiuntiva.
OpenID Connect (OIDC) o AWS IAM: supportato da GKE Identity Service

Autenticazione dell'identità Google

Per impostazione predefinita, l'API GKE Multi-Cloud concede all'utente che crea il cluster i criteri di controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes che consentono all'utente di autenticarsi con il cluster utilizzando la propria identità Google. L'utente che ha creato il cluster può aggiungere altri utenti come utenti amministratore con accesso amministrativo completo al cluster.

Oltre al criterio di autorizzazione RBAC che concede il ruolo clusterrole/cluster-admin agli utenti amministratore, l'API GKE Multi-Cloud configura un criterio di rappresentazione che autorizza l'agente Connect a inviare richieste al server API Kubernetes per conto di un utente amministratore.

Puoi autenticarti al tuo cluster con la tua identità Google nei seguenti modi:

Utilizzare kubectl con l'identità dall'interfaccia alla gcloud CLI

Puoi utilizzare Google Cloud CLI per creare un kubeconfig che utilizza l'identità dell'utente autenticato con gcloud auth login. A questo punto puoi utilizzare kubectl per accedere al cluster.

Per l'accesso kubectl quando utilizzi il gateway Connect, se un utente amministratore non è un proprietario del progetto, all'utente devono essere assegnati almeno i seguenti ruoli nel progetto:

roles/gkehub.gatewayAdmin: questo ruolo consente a un utente di accedere all'API gateway Connect per utilizzare kubectl per gestire il cluster.
- Se un utente ha bisogno solo di accesso di sola lettura ai cluster collegati, puoi concedere roles/gkehub.gatewayReader.
- Se un utente ha bisogno di accesso in lettura / scrittura ai cluster collegati, puoi grant roles/gkehub.gatewayEditor.
roles/gkehub.viewer: questo ruolo consente a un utente di recuperare il cluster kubeconfigs.

Per informazioni dettagliate sulle autorizzazioni incluse in questi ruoli, consulta Ruoli GKE Hub nella documentazione IAM.

Scopri di più sulla concessione di autorizzazioni e ruoli IAM in Concessione, modifica e revoca dell'accesso alle risorse.

Dopo che un utente amministratore ha i ruoli richiesti, segui i passaggi descritti in Configurare l'accesso al cluster per kubectl.

Utilizza la Google Cloud console

Gli utenti amministratore che non sono proprietari del progetto e vogliono interagire con i cluster utilizzando la console devono disporre almeno dei seguenti ruoli:

roles/container.viewer. Questo ruolo consente agli utenti di visualizzare la pagina GKE Clusters e altre risorse dei contenitori nella Google Cloud console. Per dettagli sulle autorizzazioni incluse in questo ruolo, consulta la sezione Ruoli Kubernetes Engine nella documentazione IAM.
roles/gkehub.viewer. Questo ruolo consente agli utenti di visualizzare i cluster al di fuoriGoogle Cloud nella Google Cloud console. Tieni presente che questo è uno degli accessi richiesti per kubectl. Se hai già concesso questo ruolo a un utente, non è necessario concederlo di nuovo. Per informazioni dettagliate sulle autorizzazioni incluse in questo ruolo, consulta Ruoli GKE Hub nella documentazione IAM.

Scopri di più sulla concessione di autorizzazioni e ruoli IAM in Concessione, modifica e revoca dell'accesso alle risorse.

Per informazioni su come accedere al cluster dalla console, consulta Accedere utilizzando la tua identità Google Cloud .

Utilizza Google Gruppi

Per connetterti al cluster come membro di un gruppo Google, consulta Collegare i gruppi Google a GKE su AWS.

Autenticazione con OIDC

Per informazioni sull'autenticazione al cluster con OIDC, consulta Gestire l'identità con GKE Identity Service.

Eseguire l'autenticazione con AWS IAM

Per informazioni sull'autenticazione al cluster con AWS IAM, consulta Gestire l'identità con GKE Identity Service.

Autenticazione con identità esterne

Per informazioni sull'autenticazione al cluster con identità esterne, consulta Eseguire l'autenticazione con identità esterne.

Connettiti al piano di controllo del cluster

Tutti i cluster GKE su AWS vengono creati in subnet private. Tutta l'infrastruttura del cluster sottostante (ad esempio i nodi e gli endpoint del bilanciatore del carico) viene provisionata solo con indirizzi IP privati RFC 1918.

Per gestire direttamente il cluster, devi essere in grado di connetterti al bilanciatore del carico del piano di controllo del cluster. Se il cluster non può collegarsi direttamente al piano di controllo, ma può effettuare connessioni in uscita, puoi collegarti al piano di controllo tramite Connect Gateway, un proxy inverso ospitato da Google per il cluster. Per ulteriori informazioni, consulta Connettersi ai cluster registrati con il gateway Connect.

Puoi anche connetterti tramite AWS Direct Connect.

Connessione al cluster e autenticazione Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.