I cluster Anthos su Bare Metal supportano OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per interagire con un server API Kubernetes di un cluster, utilizzando Anthos Identity Service. Anthos Identity Service è un servizio di autenticazione che ti consente di utilizzare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti Anthos. Gli utenti possono accedere ai tuoi cluster Anthos dalla riga di comando (tutti i provider) o da Google Cloud Console (solo OIDC), utilizzando il tuo provider di identità esistente.
Anthos Identity Service funziona con qualsiasi tipo di cluster bare metal: amministratore, utente, ibrido o autonomo. Puoi utilizzare provider di identità sia on-premise che raggiungibili pubblicamente. Ad esempio, se la tua azienda esegue un server Active Directory Federation Services (ADFS), il server ADFS potrebbe essere il tuo provider OpenID. Puoi anche utilizzare servizi di provider di identità raggiungibili pubblicamente, come Okta. I certificati del provider di identità possono essere emessi da un'autorità di certificazione pubblica (CA) nota o da una CA privata.
Per una panoramica del funzionamento di Anthos Identity Service, vedi Introduzione ad Anthos Identity Service.
Se utilizzi o vuoi utilizzare gli ID Google per accedere ai tuoi cluster Anthos anziché a un provider OIDC o LDAP, ti consigliamo di utilizzare il gateway Connect per l'autenticazione. Per saperne di più, vedi Connessione a cluster registrati con il gateway Connect.
Prima di iniziare
Tieni presente che i sistemi headless non sono supportati. Un flusso di autenticazione basato su browser viene utilizzato per chiedere agli utenti il consenso e autorizzare il proprio account utente.
Per autenticarti tramite la console Google Cloud, ogni cluster che vuoi configurare deve essere registrato nel tuo parco risorse.
Procedura di configurazione e opzioni
OIDC
Registra Anthos Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per Anthos Identity Service.
Scegli una delle seguenti opzioni di configurazione del cluster:
- Configura i tuoi cluster a livello di parco risorse seguendo le istruzioni riportate in Configurazione di cluster per Anthos Identity Service a livello di parco risorse (anteprima, cluster Anthos su Bare Metal versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.
- Configura i cluster singolarmente seguendo le istruzioni in Configurare i cluster per Anthos Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità di anteprima, ti consigliamo di utilizzare questa opzione negli ambienti di produzione, se stai utilizzando una versione precedente dei cluster Anthos su Bare Metal o se hai bisogno di funzionalità di Anthos Identity Service che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.
Configura l'accesso utente ai tuoi cluster, incluso il controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso utente per Anthos Identity Service.
LDAP
- Segui le istruzioni riportate in Configurare Anthos Identity Service con LDAP.
Cluster di accesso
Dopo aver configurato Anthos Identity Service, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la console Google Cloud.
- Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accesso ai cluster tramite Anthos Identity Service.
- Scopri come accedere ai cluster da Google Cloud Console in Accesso a un cluster da Google Cloud Console (solo OIDC).