連結及驗證叢集

本頁說明如何連線及驗證 GKE on Azure。

您可以透過多種方式向 GKE 叢集進行驗證。下列所有選項都假設連線閘道或使用者能夠連線至叢集的控制層：

• Google 身分：這是 GKE on Azure 提供的預設驗證選項，無須額外設定。

• Open ID Connect (OIDC)：GKE Identity Service 支援這項功能

Google 身分驗證

根據預設，GKE Multi-Cloud API 會授予建立叢集的使用者 Kubernetes 角色型存取權控管 (RBAC) 政策，讓使用者透過 Google 身分驗證叢集。建立叢集的使用者可以將其他使用者新增為管理員，授予叢集的完整管理存取權。

除了授予管理員使用者 clusterrole/cluster-admin 角色的 RBAC 權限政策外，GKE Multi-Cloud API 還會設定模擬政策，授權 Connect 代理程式代表管理員使用者向 Kubernetes API 伺服器傳送要求。

您可以透過下列方式，使用 Google 身分驗證叢集：

使用 kubectl 和 gcloud CLI 的身分

您可以使用 Google Cloud CLI 建立 kubeconfig，該 kubeconfig 會使用透過 gcloud auth login 驗證的使用者身分。接著，您可以使用 kubectl 存取叢集。

使用 Connect 閘道時，如要取得 kubectl 存取權，如果管理員使用者不是專案擁有者，至少必須在專案中獲派下列角色：

• roles/gkehub.gatewayAdmin：使用者可透過這個角色存取 Connect 閘道 API，並使用 kubectl 管理叢集。

  • 如果使用者只需要連線叢集的唯讀存取權，可以改為授予roles/gkehub.gatewayReader。

  • 如果使用者需要連線叢集的讀取 / 寫入權限，您可以授予roles/gkehub.gatewayEditor。

• roles/gkehub.viewer：使用者可透過這個角色擷取叢集 kubeconfigs。

如要進一步瞭解這些角色包含的權限，請參閱 IAM 說明文件中的「GKE Hub 角色」。

如要進一步瞭解如何授予 IAM 權限和角色，請參閱「授予、變更及撤銷資源的存取權」。

管理員使用者具備必要角色後，請按照「為 kubectl 設定叢集存取權」一文中的步驟操作。

使用 Google Cloud 控制台

如果管理員使用者不是專案擁有者，但想透過主控台與叢集互動，至少需要下列角色：

• roles/container.viewer。這個角色可讓使用者在 Google Cloud 控制台中查看 GKE 叢集頁面和其他容器資源。如要進一步瞭解這個角色包含的權限，請參閱 IAM 說明文件中的「Kubernetes Engine 角色」。

• roles/gkehub.viewer。使用者可透過這個角色在 Google Cloud 控制台中查看外部叢集。Google Cloud 請注意，這是存取 kubectl 的必要角色之一。如果已將這個角色授予使用者，就不需要再次授予。如要進一步瞭解這個角色包含的權限，請參閱 IAM 說明文件中的「GKE Hub 角色」。

如要進一步瞭解如何授予 IAM 權限和角色，請參閱「授予、變更及撤銷資源的存取權」。

如要瞭解如何從控制台登入叢集，請參閱使用 Google Cloud 身分登入。

使用 Google 網上論壇

如要以 Google 群組成員的身分連線至叢集，請參閱「將 Google 群組連結至 Azure 上的 GKE」。

使用 OIDC 進行驗證

如要瞭解如何使用 OIDC 驗證叢集，請參閱「使用 GKE Identity 服務管理身分」。

使用外部身分驗證

如要瞭解如何使用外部身分驗證叢集，請參閱「使用外部身分驗證」。

連線至叢集的控制層

所有 Azure 上的 GKE 都是在私有子網路中建立。所有基礎叢集基礎架構 (例如節點和負載平衡器端點) 都只佈建私人的 RFC 1918 IP 位址。

如要直接管理叢集，您必須能夠連線至叢集的控制層負載平衡器。如果叢集無法直接連線至控制層，但可以建立輸出連線，您可以透過 Connect 閘道連線至控制層。Connect 閘道是由 Google 代管的叢集反向 Proxy。詳情請參閱「透過 Connect 閘道連線至已註冊的叢集」。

您也可以透過 Azure 的 ExpressRoute 服務連線。