אימות ל-GKE

במאמר הזה נסביר איך לבצע אימות ב-Google Kubernetes Engine באופן פרוגרמטי. האופן שבו מבצעים אימות ב-Google Kubernetes Engine משתנה לפי הממשק שמשמש לגישה ל-API ולסביבה שבה הקוד פועל.

‫GKE API מאפשר לקיים אינטראקציה עם התשתית שמריצה את Kubernetes, כמו אשכולות וצמתים של GKE. Cloud de Confiance

כדי ליצור אינטראקציה עם אובייקטים של Kubernetes כמו Pods ו-Services, צריך לאמת את הגישה ל-Kubernetes API, שהוא נפרד מ-GKE API ומופעל על ידי שרת Kubernetes API בכל אשכול. הוראות מפורטות זמינות במאמר בנושא אימות לשרת Kubernetes API.

כדי לגשת למשאבים אחרים Cloud de Confiance כמו בקטות של Cloud Storage מעומסי עבודה שפועלים ב-GKE, צריך להשתמש באיחוד זהויות של עומסי עבודה ל-GKE.

למידע נוסף על אימות ב- Cloud de Confiance אתם יכולים לעיין בשיטות האימות.

גישה באמצעות ממשק API

ב-GKE יש תמיכה בגישה פרוגרמטית. הגישה ל-API אפשרית בדרכים הבאות:

ספריות לקוח

ספריות הלקוח של GKE מספקות שפות תמיכה ברמה גבוהה לצורך אימות פרוגרמטי ב-GKE. כדי לאמת קריאות לממשקי ה-API של Cloud de Confiance by S3NS , ספריות הלקוח תומכות ב-Application Default Credentials ‏(ADC). בספריות מתבצע חיפוש של פרטי כניסה בקבוצה של מיקומים מוגדרים, והמערכת משתמשת בפרטי הכניסה האלה כדי לאמת בקשות ל-API. בעזרת ADC, פרטי הכניסה לאפליקציה יכולים להיות זמינים בסביבות שונות, כמו בפיתוח מקומי או בייצור, גם בלי לשנות את קוד האפליקציה.

Google Cloud CLI

כשמשתמשים ב-CLI של gcloud כדי להיכנס ל-GKE, מתחברים ל-CLI של gcloud באמצעות חשבון משתמש שמספק את פרטי הכניסה שבהם משתמשות פקודות ה-CLI של gcloud.

אם מדיניות האבטחה של הארגון לא מאפשרת הקצאה של ההרשאות הנדרשות לחשבונות משתמשים, תוכלו להשתמש בתכונה התחזות לחשבון שירות.

למידע נוסף, תוכלו לקרוא על אימות לשימוש ב-CLI של gcloud. למידע נוסף על השימוש ב-CLI של gcloud עם GKE, אפשר לעיין בדפי העזר של gcloud CLI.

REST

אתם יכולים לאמת את GKE API באמצעות פרטי הכניסה של ה-CLI של gcloud, או באמצעות Application Default Credentials. למידע נוסף על אימות של בקשות REST, אפשר לעיין במאמר אימות לשימוש ב-REST. למידע נוסף על הסוגים השונים של פרטי כניסה, אפשר לעיין במאמר פרטי כניסה ל-CLI של gcloud ו-ADC.

המאמרים הבאים