ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、こちらまでご連絡ください。

CNE GCP Ready: Kubernetesクラスターへのアクセス

Cloud Native Experience (CNE) GCP Ready は、デフォルトで Google Kubernetes Engine (GKE) クラスターをプライベートクラスターとしてプロビジョニングします。

Kubernetes APIサーバーは公開エンドポイントを提供していないため、アクセスはGoogle Cloud Connect Gateway経由で行われます。

前提条件

クラスターに接続する前に：

Google Cloudで認証してください。

gcloud auth login
gcloud auth application-default login

GCPプロジェクトで以下のAPIが有効になっていることを確認してください。
- connectgateway.googleapis.com
- gkehub.googleapis.com

アクセス権限の設定

クラスターへのアクセスには、Google Cloud IAM権限とKubernetes RBAC権限の両方が必要です。

Google Cloud IAM ロール

ユーザーまたはサービスアカウントに、以下のIAMロールを割り当ててください。

roles/gkehub.gatewayAdmin
roles/gkehub.viewer

必要なアクセスレベルに応じて、以下の方法も使用できます。

roles/gkehub.gatewayReader
roles/gkehub.gatewayEditor

Kubernetes RBAC

一部の上位レベルのGoogle Cloudロールは、Kubernetesの管理アクセスに自動的にマッピングされます。

例:

roles/container.admin
プロジェクトオーナー

最小権限アクセスを実現するには、代わりに明示的なKubernetes RBACバインディングを設定してください。

例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-user-admin

subjects:
  - kind: User
    name: user@example.com

roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

クラスターに接続します

利用可能なフリートメンバーシップの一覧：
```
gcloud container fleet memberships list
```
Connect Gateway を介してクラスタ認証情報を取得します。
```
gcloud container fleet memberships get-credentials <membership-name>
```
クラスターへのアクセスを確認する：
```
kubectl get nodes
```

認証が完了すると、 kubeconfig は自動的に Connect Gateway エンドポイントを使用します。