המוצר שמתואר במסמכי התיעוד האלה, GKE on Azure, נמצא עכשיו במצב תחזוקה והוא ייסגר ב-17 במרץ 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

התחברות לאשכול ואימות

בדף הזה מוסבר איך להתחבר ל-GKE ב-Azure ולבצע אימות.

יש כמה אפשרויות לאימות לאשכולות GKE. כל האפשרויות הבאות מבוססות על ההנחה ששער Connect או המשתמש יכולים להתחבר למישור הבקרה של האשכול:

זהות Google: אפשרות האימות שמוגדרת כברירת מחדל ב-GKE ב-Azure, ללא צורך בהגדרה נוספת.
‫Open ID Connect (OIDC) : נתמך על ידי שירות הזהויות של GKE

אימות הזהות ב-Google

כברירת מחדל, GKE Multi-Cloud API מעניק למשתמש שיוצר את האשכול את כללי המדיניות של בקרת גישה מבוססת-תפקידים (RBAC) ב-Kubernetes, שמאפשרים למשתמש לבצע אימות מול האשכול באמצעות הזהות שלו ב-Google. המשתמש שיצר את האשכול יכול להוסיף משתמשים אחרים כמשתמשי אדמין עם גישת אדמין מלאה לאשכול.

בנוסף למדיניות ההרשאות של RBAC שמעניקה את התפקיד clusterrole/cluster-admin למשתמשים עם הרשאות אדמין, GKE Multi-Cloud API מגדיר מדיניות התחזות שמאשרת ל-Connect agent לשלוח בקשות לשרת Kubernetes API בשם משתמש עם הרשאות אדמין.

אתם יכולים לבצע אימות לאשכול באמצעות הזהות שלכם ב-Google בדרכים הבאות:

שימוש ב-kubectl עם זהות מ-CLI של gcloud

אפשר להשתמש ב-Google Cloud CLI כדי ליצור kubeconfig שמשתמש בזהות של המשתמש שאומת באמצעות gcloud auth login. אחר כך תוכלו להשתמש ב-kubectl כדי לגשת לאשכול.

כדי לקבל גישה ל-kubectl כשמשתמשים בשער Connect, אם משתמש עם הרשאת אדמין הוא לא בעלים של פרויקט, צריך להקצות לו לפחות את התפקידים הבאים בפרויקט:

‫roles/gkehub.gatewayAdmin: התפקיד הזה מאפשר למשתמש לגשת ל-Connect gateway API כדי להשתמש ב-kubectl לניהול האשכול.
- אם משתמש צריך גישת קריאה בלבד לאשכולות מקושרים, אפשר להעניק לו הרשאה מסוג roles/gkehub.gatewayReader.
- אם משתמש צריך גישת קריאה / כתיבה לאשכולות מחוברים, אפשר להעניק לו את ההרשאה roles/gkehub.gatewayEditor.
‫roles/gkehub.viewer: התפקיד הזה מאפשר למשתמש לאחזר את kubeconfigs של האשכול.

פרטים על ההרשאות שכלולות בתפקידים האלה מופיעים במאמר תפקידים ב-GKE Hub במסמכי ה-IAM.

במאמר הענקה, שינוי וביטול גישה למשאבים תוכלו לקרוא מידע נוסף על הענקת הרשאות ותפקידים ב-IAM.

אחרי שלמשתמש אדמין יש את התפקידים הנדרשים, פועלים לפי השלבים במאמר הגדרת גישה לאשכול עבור kubectl.

שימוש במסוף Google Cloud

משתמשים עם הרשאת אדמין שלא מוגדרים כבעלי פרויקט ורוצים לבצע אינטראקציה עם אשכולות באמצעות המסוף, צריכים לפחות את התפקידים הבאים:

roles/container.viewer. התפקיד הזה מאפשר למשתמשים לצפות בדף GKE Clusters ובמשאבי קונטיינרים אחרים במסוף Google Cloud . במאמר תפקידים ב-Kubernetes Engine שבמסמכי IAM מפורטות ההרשאות שכלולות בתפקיד הזה.
‫roles/gkehub.viewer. התפקיד הזה מאפשר למשתמשים להציג אשכולות מחוץ ל-Google Cloud במסוף. Google Cloud שימו לב: זה אחד מהתפקידים שנדרשים לגישה אל kubectl. אם כבר הענקתם את התפקיד הזה למשתמש, אין צורך להעניק אותו שוב. פרטים על ההרשאות שכלולות בתפקיד הזה זמינים במאמר תפקידים ב-GKE Hub במאמרי העזרה בנושא IAM.

במאמר הענקה, שינוי וביטול גישה למשאבים תוכלו לקרוא מידע נוסף על הענקת הרשאות ותפקידים ב-IAM.

במאמר כניסה באמצעות זהות Google Cloud מוסבר איך מתחברים לאשכול מהמסוף.

שימוש בקבוצות Google

כדי להתחבר לאשכול כחבר בקבוצה ב-Google, אפשר לעיין במאמר בנושא חיבור קבוצות Google ל-GKE ב-Azure.

אימות באמצעות OIDC

למידע על אימות לאשכול באמצעות OIDC, אפשר לעיין במאמר ניהול זהויות באמצעות GKE Identity Service.

אימות באמצעות זהויות חיצוניות

למידע על אימות לאשכול באמצעות זהויות חיצוניות, אפשר לעיין במאמר בנושא אימות באמצעות זהויות חיצוניות.

התחברות למישור הבקרה של האשכול

כל GKE ב-Azure נוצר ברשתות משנה פרטיות. כל התשתית הבסיסית של האשכול (לדוגמה, צמתים ונקודות קצה של איזון עומסים) מוקצית עם כתובות IP פרטיות מסוג RFC 1918 בלבד.

כדי לנהל את האשכול ישירות, צריך להיות לכם חיבור למאזן העומסים של מישור הבקרה של האשכול. אם האשכול לא יכול להתחבר ישירות למישור הבקרה, אבל יכול ליצור חיבורים יוצאים, אפשר להתחבר למישור הבקרה דרך שער Connect, פרוקסי הפוך שמתארח ב-Google לאשכול. מידע נוסף זמין במאמר חיבור לאשכולות רשומים באמצעות שער החיבור.

אפשר גם להתחבר דרך השירות ExpressRoute של Azure.