Das in dieser Dokumentation beschriebene Produkt GKE on Azure befindet sich jetzt im Wartungsmodus und wird am 17. März 2027 eingestellt.

Diese Seite wurde von der Cloud Translation API übersetzt.

Authentifizierung

Auf dieser Seite wird beschrieben, wie GKE on Azure die Authentifizierung beiGoogle Cloud und die Nutzerauthentifizierung für Ihre Cluster durchführt.

So wird GKE on Azure mit Azure verbunden

Die GKE Multi-Cloud API authentifiziert sich mit einem AzureClient-Objekt bei Azure. Wenn Sie einen Client erstellen, generiert Google ein X.509-Schlüsselpaar. Der öffentliche Schlüssel wird in Azure Active Directory (Azure AD) hochgeladen.

Weitere Informationen finden Sie unter AzureClient erstellen.

Authentifizierung

GKE Multi-Cloud API-Authentifizierung

Sie verwenden die GKE Multi-Cloud API, um Cluster und Knotenpools zu erstellen, zu aktualisieren und zu löschen. Wie bei anderen Google Cloud APIs können Sie diese API mit REST, der Google Cloud CLI oder der Google Cloud Console verwenden.

Weitere Informationen finden Sie in der Google Cloud Authentifizierung – Übersicht und in der Referenzdokumentation zur GKE Multi-Cloud API.

Kubernetes API-Authentifizierung

Mit dem kubectl-Befehlszeilentool können Sie Clustervorgänge wie das Bereitstellen einer Arbeitslast und das Konfigurieren eines Load-Balancers ausführen. Das kubectl-Tool stellt eine Verbindung zur Kubernetes API auf der Steuerungsebene Ihres Clusters her. Sie müssen sich mit autorisierten Anmeldedaten authentifizieren, um diese API aufzurufen.

Zum Abrufen von Anmeldedaten können Sie eine der folgenden Methoden verwenden:

Google Identity: Nutzer können sich mit ihrer Google Cloud -Identität anmelden. Verwenden Sie diese Option, wenn Ihre Nutzer bereits Zugriff auf Google Cloud mit einer Google-Identität haben.
GKE Identity Service, mit dem sich Nutzer mit OpenID Connect (OIDC) anmelden können.

Mit GKE Identity Service können Sie Identitätsanbieter wie Okta, Active Directory Federation Services (ADFS) oder einen beliebigen OIDC-konformen Identitätsanbieter verwenden.

Autorisierung

GKE on Azure bietet zwei Zugriffssteuerungsmethoden: die GKE Multi-Cloud API und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). In diesem Abschnitt werden die Unterschiede zwischen diesen Methoden beschrieben.

Schützen Sie Ihre Cluster und Arbeitslasten nach Möglichkeit mit einem mehrschichtigen Ansatz. Sie können den Grundsatz der geringsten Berechtigung auf die Zugriffsebene anwenden, die Sie für Ihre Nutzer und Arbeitslasten bereitstellen. Möglicherweise müssen Sie Kompromisse eingehen, um das richtige Maß an Flexibilität und Sicherheit zu erreichen.

Zugriffssteuerung über die GKE Multi-Cloud API

Mit der GKE Multi-Cloud API können Clusteradministratoren Cluster und Knotenpools erstellen, aktualisieren und löschen. Berechtigungen für die API verwalten Sie mit Identity and Access Management (IAM). Um die API verwenden zu können, müssen Nutzer die entsprechenden Berechtigungen haben. Informationen zu den für den jeweiligen Vorgang erforderlichen Berechtigungen finden Sie unter API-Rollen und -Berechtigungen. Mit IAM können Sie Rollen definieren und diese Hauptkonten zuweisen. Eine Rolle ist eine Sammlung von Berechtigungen. Sie steuert den Zugriff des jeweiligen Hauptkontos auf eine oder mehrere Google Cloud Ressourcen.

Wenn Sie einen Cluster oder Knotenpool in einer Organisation, einem Ordner oder einem Projekt erstellen, kann dieser von Nutzern mit den entsprechenden Berechtigungen in dieser Organisation, in diesem Ordner oder in diesem Projekt geändert werden. Wenn Sie einem Nutzer beispielsweise eine Berechtigung zum Löschen von Clustern aufGoogle Cloud -Projektebene erteilen, kann er alle Cluster in diesem Projekt löschen. Weitere Informationen finden Sie unter Google Cloud Ressourcenhierarchie und IAM-Richtlinien erstellen.

Kubernetes API-Zugriffssteuerung

Mit der Kubernetes API können Sie Kubernetes-Objekte verwalten. Zur Verwaltung der Zugriffssteuerung in der Kubernetes API verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Weitere Informationen finden Sie in der GKE-Dokumentation unter Rollenbasierte Zugriffssteuerung konfigurieren.

Administratorzugriff

Wenn Sie die gcloud CLI zum Erstellen eines Clusters verwenden, fügt die GKE Multi-Cloud API standardmäßig Ihr Nutzerkonto als Administrator hinzu und erstellt geeignete RBAC-Richtlinien, die Ihnen vollständigen Administratorzugriff auf den Cluster gewähren. Um verschiedene Nutzer zu konfigurieren, übergeben Sie beim Erstellen oder Aktualisieren eines Clusters das Flag --admin-users. Wenn Sie das Flag --admin-users verwenden, müssen Sie alle Nutzer angeben, die den Cluster verwalten können. Die gcloud CLI enthält nicht den Nutzer, der den Cluster erstellt.

Sie können Administratoren auch über die Google Cloud Konsole hinzufügen. Weitere Informationen finden Sie unter Cluster aktualisieren.

Führen Sie den folgenden Befehl aus, um die Konfiguration für den Zugriff auf Ihren Cluster anzeigen zu lassen:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Wenn ein Administrator kein Projektinhaber ist, müssen Sie ihm zusätzlich zu den RBAC-Richtlinien für den Zugriff auf den Kubernetes API-Server bestimmte IAM-Rollen zuweisen, mit denen er sich mit seiner Google-Identität authentifizieren kann. Weitere Informationen zum Herstellen einer Verbindung zum Cluster finden Sie unter Verbindung zum Cluster herstellen und authentifizieren.

Nächste Schritte

Informationen zum Einrichten von OIDC finden Sie unter Identität mit GKE Identity Service verwalten.
Verbindung zum Cluster herstellen und authentifizieren