I cluster Anthos su Bare Metal supportano OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per interagire con il server API Kubernetes di un cluster, utilizzando Anthos Identity Service. Anthos Identity Service è un servizio di autenticazione che ti consente di utilizzare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti Anthos. Gli utenti possono accedere ai tuoi cluster Anthos e utilizzarli dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), il tutto usando il tuo provider di identità esistente.
Anthos Identity Service funziona con qualsiasi cluster Bare Metal: amministratore, utente, ibrido o autonomo. Puoi utilizzare provider di identità sia on-premise che raggiungibili pubblicamente. Ad esempio, se la tua azienda esegue un server ADFS (Active Directory Federation Services), il server ADFS potrebbe fungere da provider OpenID. Puoi anche utilizzare servizi di provider di identità raggiungibili pubblicamente come Okta. I certificati del provider di identità possono essere emessi da un'autorità di certificazione (CA) nota o da una CA privata.
Per una panoramica del funzionamento del servizio Anthos Identity, vedi Introduzione al servizio Anthos Identity.
Se già utilizzi o vuoi usare gli ID Google per accedere ai tuoi cluster Anthos anziché a un provider OIDC o LDAP, ti consigliamo di utilizzare il gateway Connect per l'autenticazione. Per saperne di più, vedi Connessione a cluster registrati con il gateway Connect.
Prima di iniziare
Tieni presente che i sistemi headless non sono supportati. Un flusso di autenticazione basato su browser viene utilizzato per chiedere agli utenti il consenso e autorizzare il loro account.
Per eseguire l'autenticazione tramite la console Google Cloud, ogni cluster che vuoi configurare deve essere registrato con il tuo parco risorse.
Procedura di configurazione e opzioni
OIDC
Registra il servizio Anthos Identity come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per il servizio Anthos Identity.
Scegli una delle seguenti opzioni di configurazione del cluster:
- Configura i tuoi cluster a livello di parco risorse seguendo le istruzioni in Configurazione dei cluster per il servizio Anthos Identity a livello di parco risorse (anteprima, Cluster Anthos on bare metal versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione viene gestita centralmente da Google Cloud.
- Configura i cluster singolarmente seguendo le istruzioni in Configurazione dei cluster per Anthos Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità di anteprima, ti consigliamo di utilizzarla in ambienti di produzione, se usi una versione precedente di Cluster Anthos on bare metal o se hai bisogno di funzionalità del servizio Anthos Identity che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.
Configura l'accesso utente ai tuoi cluster, incluso il controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni in Configurare l'accesso utente per il servizio Anthos Identity.
LDAP
- Segui le istruzioni riportate in Configurare Anthos Identity Service con LDAP.
Cluster di accesso
Una volta configurato Anthos Identity Service, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la console Google Cloud.
- Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accesso ai cluster tramite Anthos Identity Service.
- Scopri come accedere ai cluster dalla console Google Cloud in Accedere a un cluster dalla console Google Cloud (solo OIDC).