GKE Identity Service で ID を管理する

GKE on Bare Metal は、GKE Identity Service を使用してクラスタの Kubernetes API サーバーとやり取りする認証メカニズムとして、OpenID Connect(OIDC)Lightweight Directory Access Protocol(LDAP)をサポートしています。GKE Identity Service は、認証を目的とする既存の ID ソリューションを複数の GKE Enterprise 環境で利用できるようにする認証サービスです。ユーザーは、既存の ID プロバイダを使用してコマンドライン(すべてのプロバイダ)または Google Cloud コンソール(OIDC のみ)からログインし、GKE クラスタを使用できます。

GKE Identity Service は、管理、ユーザー、ハイブリッド、スタンドアロンなど、あらゆる種類のベアメタル クラスタで動作します。オンプレミスと公開アクセス可能な ID プロバイダの両方を使用できます。たとえば、企業で Active Directory フェデレーション サービス(ADFS)サーバーが実行されている場合、ADFS サーバーは OpenID プロバイダとして機能します。Okta など、一般公開されている ID プロバイダ サービスを使用することもできます。ID プロバイダの証明書は有名なパブリック認証局(CA)またはプライベート CA によって発行されます。

GKE Identity Service の仕組みの概要については、GKE Identity Service の概要をご覧ください。

OIDC または LDAP プロバイダではなく Google ID をすでに使用しているか、使用して GKE クラスタにログインする必要がある場合は、認証に Connect ゲートウェイを使用することをおすすめします。詳細については、Connect Gateway を使用した登録済みクラスタへの接続をご覧ください。

始める前に

  • ヘッドレス システムはサポートされていません。ブラウザベースの認証フローが使用されて、ユーザーに同意を求め、ユーザー アカウントを認可します。

  • Google Cloud コンソールで認証するには、構成する各クラスタをプロジェクト フリートに登録する必要があります。

設定手順とオプション

OIDC

  1. GKE Identity Service のプロバイダの構成の手順に沿って、GKE Identity Service をクライアントとして OIDC プロバイダに登録します。

  2. 次のクラスタ構成オプションから選択します。

    • フリートレベルの GKE Identity Service 用にクラスタを構成する(プレビュー、GKE on Bare Metal バージョン 1.8 以降)の手順に沿って、フリートレベルでクラスタを構成します。このオプションを使用すると、認証構成は、Google Cloud が一元管理します。
    • OIDC で GKE Identity Service 用のクラスタを構成するの手順に沿って、クラスタを個別に構成します。フリートレベルの設定はプレビュー機能であるため、以前のバージョンの GKE on Bare Metal を使用している場合や、フリートレベルのライフサイクル管理でサポートされていない GKE Identity Service 機能が必要な場合は、本番環境ではこのオプションを使用できます。
  3. GKE Identity Service のユーザー アクセスを設定するの手順に沿って、クラスタへのユーザー アクセス(ロールベースのアクセス制御(RBAC)を含む)を設定します。

LDAP

クラスタにアクセスする

GKE Identity Service が設定されると、ユーザーはコマンドラインまたは Google Cloud コンソールを使用して、構成済みのクラスタにログインできます。