GKE Identity Service の概要
GKE Identity Service は、既存の ID ソリューションと統合される認証サービスです。これにより、複数の GKE Enterprise 環境でこれらの ID ソリューションを使用できます。ユーザーは、コマンドラインまたは Google Cloud コンソールから GKE クラスタにアクセスして管理できます。その際、すべての操作を既存の ID プロバイダを使用して行うことができます。
ID プロバイダではなく Google ID を使用して GKE クラスタにログインする場合は、Connect Gateway を使用して登録済みクラスタに接続するをご覧ください。
サポートされる ID プロバイダ
GKE Identity Service は、リソースまたはサービスにアクセスしようとするユーザーの確認と認証を行うために、次の ID プロバイダ プロトコルをサポートしています。
- OpenID Connect(OIDC): OIDC は、OAuth 2.0 認可フレームワーク上に構築された最新かつ軽量な認証プロトコルです。ここでは、Microsoft を含む一部の一般的な OpenID Connect プロバイダに関する特定の設定手順を説明しますが、OIDC を実装する任意のプロバイダを使用できます。
- Security Assertion Markup Language(SAML): SAML は、当事者間(主に ID プロバイダ(IdP)とサービス プロバイダ(SP))の間で認証と認可のデータを交換するための XML ベースの標準です。GKE Identity Service では、SAML を使用して認証を行うことができます。
- Lightweight Directory Access Protocol(LDAP): LDAP は、ディレクトリ情報サービスへのアクセスと管理のための成熟した標準プロトコルです。ユーザー名、パスワード、グループ メンバーシップなどのユーザー情報を保存および取得するためによく使用されます。GKE Identity Service では、Active Directory または LDAP サーバーで LDAP を使用して認証を行うことができます。
サポートされるクラスタタイプ
| プロトコル | Google Distributed Cloud | Google Distributed Cloud | GKE on AWS | GKE on Azure | EKS 接続クラスタ | GKE |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
他の接続クラスタのタイプは、GKE Identity Service ではサポートされません。
設定プロセス
クラスタに GKE Identity Service を設定するには、次のユーザーとプロセスの手順が必要です。
- プロバイダを構成する: プラットフォーム管理者が、GKE Identity Service をクライアント アプリケーションとして目的の ID プロバイダに登録し、クライアント ID とシークレットを取得します。
- 個々のクラスタを設定するまたはフリートを設定する: クラスタ管理者が、Identity Service のクラスタを設定します。クラスタ上の GKE Identity Service は、オンプレミスの GKE クラスタ(VMware とベアメタルの両方)と、AWS、または Azure の GKE クラスタ単位で設定できます。また、フリート用に GKE Identity Service を設定することもできます。フリートは、機能を有効にし、それらのクラスタ全体の構成を更新できるようにするクラスタの論理グループです。
- ユーザー アクセスを設定する: クラスタ管理者は、FQDN アクセス(推奨)またはファイルベースのアクセスのアプローチを使用してクラスタの認証を行うユーザー ログイン アクセスを設定し、必要に応じて、これらのクラスタのユーザーに Kubernetes ロールベース アクセス制御(RBAC)を構成します。