El producto descrito en esta documentación, GKE en Azure, ahora está en modo de mantenimiento y se cerrará el 17 de marzo de 2027.

Esta página se ha traducido con Cloud Translation API.

Conéctese y autentíquese en su clúster

Esta página explica cómo conectarse y autenticarse en GKE en Azure.

Tiene varias opciones para autenticarse en los clústeres de GKE. Todas las siguientes opciones presuponen que la puerta de enlace de Connect o el usuario pueden conectarse al plano de control del clúster :

Identidad de Google : la opción de autenticación predeterminada proporcionada por GKE en Azure sin configuración adicional.
Open ID Connect (OIDC) : compatible con el servicio de identidad de GKE

Autenticación de identidad de Google

De forma predeterminada, la API Multi-Cloud de GKE otorga al usuario que crea el clúster las políticas de control de acceso basado en roles (RBAC) de Kubernetes, lo que le permite autenticarse en el clúster con su identidad de Google. El usuario que creó el clúster puede agregar a otros usuarios como administradores con acceso administrativo completo al clúster.

Además de la política de permisos RBAC que otorga el rol clusterrole/cluster-admin a los usuarios administradores, la API de GKE Multi-Cloud configura una política de suplantación que autoriza al agente de Connect a enviar solicitudes al servidor de API de Kubernetes en nombre de un usuario administrador.

Puedes autenticarte en tu clúster con tu identidad de Google de las siguientes maneras:

Utilice kubectl con identidad desde la CLI de gcloud

Puedes usar la CLI de Google Cloud para crear un kubeconfig que use la identidad del usuario autenticado con gcloud auth login . Después, puedes usar kubectl para acceder al clúster.

Para acceder kubectl al usar la puerta de enlace Connect, si un usuario administrador no es propietario del proyecto, como mínimo, se le deben otorgar los siguientes roles en el proyecto:

roles/gkehub.gatewayAdmin : este rol permite que un usuario acceda a la API de puerta de enlace de Connect para usar kubectl para administrar el clúster.
- Si un usuario solo necesita acceso de solo lectura a los clústeres conectados, puede otorgarle roles/gkehub.gatewayReader en su lugar.
- Si un usuario necesita acceso de lectura/escritura a los clústeres conectados, puede otorgarle roles/gkehub.gatewayEditor .
roles/gkehub.viewer : este rol permite a un usuario recuperar kubeconfigs del clúster.

Para obtener detalles sobre los permisos incluidos en estos roles, consulte Roles de GKE Hub en la documentación de IAM.

Puede obtener más información sobre cómo otorgar permisos y roles de IAM en Otorgar, cambiar y revocar acceso a recursos .

Una vez que un usuario administrador tenga los roles necesarios, siga los pasos que se indican en Configurar el acceso al clúster para kubectl .

Usar Google Cloud consola

Los usuarios administradores que no son propietarios de proyectos y desean interactuar con clústeres mediante la consola necesitan los siguientes roles como mínimo:

roles/container.viewer . Este rol permite a los usuarios ver la página Clústeres de GKE y otros recursos del contenedor en el Google Cloud consola. Para obtener más información sobre los permisos incluidos en este rol, consulte Roles de Kubernetes Engine en la documentación de IAM.
roles/gkehub.viewer . Este rol permite a los usuarios ver clústeres fuera de...Google Cloud en el Google Cloud consola. Tenga en cuenta que este es uno de los roles necesarios para acceder kubectl . Si ya le ha otorgado este rol a un usuario, no es necesario volver a otorgarlo. Para obtener más información sobre los permisos incluidos en este rol, consulte los roles de GKE Hub en la documentación de IAM.

Puede obtener más información sobre cómo otorgar permisos y roles de IAM en Otorgar, cambiar y revocar acceso a recursos .

Para obtener información sobre cómo iniciar sesión en el clúster desde la consola, consulte Iniciar sesión con su Google Cloud identidad .

Utilice Grupos de Google

Para conectarse a su clúster como miembro de un grupo de Google, consulte Conectar grupos de Google a GKE en Azure .

Autenticarse con OIDC

Para obtener información sobre cómo autenticarse en su clúster con OIDC, consulte Administrar identidad con GKE Identity Service .

Autenticarse con identidades externas

Para obtener información sobre cómo autenticarse en su clúster con identidades externas, consulte Autenticarse con identidades externas .

Conéctese al plano de control de su clúster

Todas las instancias de GKE en Azure se crean en subredes privadas. Toda la infraestructura subyacente del clúster (por ejemplo, nodos y puntos de conexión del balanceador de carga) se aprovisiona únicamente con direcciones IP privadas RFC 1918 .

Para administrar su clúster directamente, debe poder conectarse al balanceador de carga del plano de control. Si su clúster no puede conectarse directamente a su plano de control, pero sí puede realizar conexiones salientes, puede hacerlo a través de la puerta de enlace de Connect, un proxy inverso alojado por Google. Para obtener más información, consulte Conexión a clústeres registrados con la puerta de enlace de Connect .

También puede conectarse a través del servicio ExpressRoute de Azure.