O produto descrito nesta documentação, GKE na AWS, agora está em modo de manutenção e será encerrado em 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Conecte-se e autentique-se no seu cluster

Esta página explica como se conectar e autenticar no GKE na AWS.

Você tem várias opções para autenticar em clusters do GKE. Todas as opções a seguir pressupõem que o gateway Connect ou o usuário consiga se conectar ao plano de controle do seu cluster :

Identidade do Google : a opção de autenticação padrão fornecida pelo GKE na AWS sem configuração adicional.
Open ID Connect (OIDC) ou AWS IAM : compatível com o GKE Identity Service

Autenticação de identidade do Google

Por padrão, a API Multi-Cloud do GKE concede ao usuário que cria o cluster as políticas de controle de acesso baseado em função (RBAC) do Kubernetes, que permitem que o usuário se autentique no cluster usando sua identidade do Google. O usuário que criou o cluster pode adicionar outros usuários como administradores , com acesso administrativo total ao cluster.

Além da política de permissões do RBAC que concede a função clusterrole/cluster-admin aos usuários administradores, a API Multi-Cloud do GKE configura uma política de representação que autoriza o agente do Connect a enviar solicitações ao servidor da API do Kubernetes em nome de um usuário administrador.

Você pode se autenticar no seu cluster com sua identidade do Google das seguintes maneiras:

Use o kubectl com identidade da CLI do gcloud

Você pode usar o Google Cloud CLI para criar um kubeconfig que usa a identidade do usuário autenticado com gcloud auth login . Em seguida, você pode usar kubectl para acessar o cluster.

Para acesso kubectl ao usar o gateway Connect, se um usuário administrador não for um proprietário do projeto, no mínimo, o usuário deve receber as seguintes funções no projeto:

roles/gkehub.gatewayAdmin : esta função permite que um usuário acesse a API do gateway Connect para usar kubectl para gerenciar o cluster.
- Se um usuário precisar apenas de acesso somente leitura aos clusters conectados, você poderá conceder roles/gkehub.gatewayReader .
- Se um usuário precisar de acesso de leitura/gravação aos clusters conectados, você pode conceder roles/gkehub.gatewayEditor .
roles/gkehub.viewer : Esta função permite que um usuário recupere kubeconfigs do cluster.

Para obter detalhes sobre as permissões incluídas nessas funções, consulte Funções do GKE Hub na documentação do IAM.

Você pode descobrir mais sobre como conceder permissões e funções do IAM em Conceder, alterar e revogar acesso a recursos .

Depois que um usuário administrador tiver as funções necessárias, siga as etapas em Configurar acesso ao cluster para kubectl .

Usar Google Cloud console

Usuários administradores que não são proprietários de projetos e desejam interagir com clusters usando o console precisam, no mínimo, das seguintes funções:

roles/container.viewer . Esta função permite que os usuários visualizem a página Clusters do GKE e outros recursos de contêiner no Google Cloud console. Para obter detalhes sobre as permissões incluídas nesta função, consulte Funções do Kubernetes Engine na documentação do IAM.
roles/gkehub.viewer . Esta função permite que os usuários visualizem clusters foraGoogle Cloud no Google Cloud console. Observe que esta é uma das funções necessárias para o acesso kubectl . Se você já concedeu esta função a um usuário, não precisa concedê-la novamente. Para obter detalhes sobre as permissões incluídas nesta função, consulte Funções do GKE Hub na documentação do IAM.

Você pode descobrir mais sobre como conceder permissões e funções do IAM em Conceder, alterar e revogar acesso a recursos .

Para obter informações sobre como efetuar login no cluster a partir do console, consulte Fazer login usando seu Google Cloud identidade .

Use o Google Grupos

Para se conectar ao seu cluster como membro de um grupo do Google, consulte Conectar grupos do Google ao GKE na AWS .

Autenticar com OIDC

Para obter informações sobre como autenticar seu cluster com o OIDC, consulte Gerenciar identidade com o GKE Identity Service .

Autenticar com o AWS IAM

Para obter informações sobre como autenticar seu cluster com o AWS IAM, consulte Gerenciar identidade com o GKE Identity Service .

Autenticar com identidades externas

Para obter informações sobre como autenticar seu cluster com identidades externas, consulte Autenticar com identidades externas .

Conecte-se ao plano de controle do seu cluster

Todos os GKE na AWS são criados em sub-redes privadas. Toda a infraestrutura de cluster subjacente (por exemplo, nós e endpoints do balanceador de carga) é provisionada apenas com endereços IP privados RFC 1918 .

Para gerenciar seu cluster diretamente, você precisa conseguir se conectar ao balanceador de carga do plano de controle. Se o cluster não puder se conectar diretamente ao plano de controle, mas conseguir fazer conexões de saída, você poderá se conectar ao plano de controle por meio do Gateway Connect, um proxy reverso hospedado pelo Google para o seu cluster. Para obter mais informações, consulte Como conectar-se a clusters registrados com o Gateway Connect .

Você também pode se conectar por meio do AWS Direct Connect .

Conecte-se e autentique-se no seu cluster Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.