Gestisci l'identità con GKE Identity Service

GKE su Bare Metal supporta OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per l'interazione con il server API Kubernetes di un cluster, utilizzando GKE Identity Service. GKE Identity Service è un servizio di autenticazione che consente di utilizzare le soluzioni di identità esistenti per l'autenticazione in più ambienti GKE Enterprise. Gli utenti possono accedere ai tuoi cluster GKE e utilizzarli dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), il tutto utilizzando il tuo provider di identità esistente.

GKE Identity Service funziona con qualsiasi tipo di cluster bare metal: amministratore, utente, ibrido o autonomo. Puoi utilizzare provider di identità on-premise e pubblicamente raggiungibili. Ad esempio, se la tua azienda esegue un server ADFS (Active Directory Services), il server ADFS potrebbe fungere da provider OpenID. Potresti anche utilizzare servizi di provider di identità raggiungibili pubblicamente come Okta. I certificati dei provider di identità possono essere emessi da una nota autorità di certificazione pubblica (CA) o da una CA privata.

Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.

Se già utilizzi o vuoi usare gli ID Google per accedere ai tuoi cluster GKE anziché a un provider OIDC o LDAP, ti consigliamo di usare il gateway Connect per l'autenticazione. Per saperne di più, consulta Connessione ai cluster registrati con il gateway Connect.

Prima di iniziare

  • Tieni presente che i sistemi headless non sono supportati. Viene utilizzato un flusso di autenticazione basato su browser per richiedere il consenso degli utenti e autorizzare il loro account utente.

  • Per eseguire l'autenticazione tramite la console Google Cloud, ogni cluster che vuoi configurare deve essere registrato con il tuo parco progetti.

Procedura di configurazione e opzioni

GKE Identity Service supporta i provider di identità che utilizzano i seguenti protocolli:

  • OpenID Connect (OIDC). Forniamo istruzioni specifiche per la configurazione di alcuni provider OpenID più diffusi, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.

  • Lightweight Directory Access Protocol (LDAP). Puoi utilizzare GKE Identity Service per eseguire l'autenticazione tramite LDAP con Active Directory o un server LDAP.

OIDC

  1. Registra GKE Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurare i provider per GKE Identity Service.

  2. Scegli tra le seguenti opzioni di configurazione del cluster:

    • Configura i cluster a livello di parco risorse seguendo le istruzioni riportate in Configurare i cluster per GKE Identity Service a livello di parco risorse (anteprima, GDCV per Bare Metal versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.

    • Configura i cluster singolarmente seguendo le istruzioni in Configurazione dei cluster per GKE Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità in anteprima, ti consigliamo di utilizzare questa opzione negli ambienti di produzione, se utilizzi una versione precedente di GKE su Bare Metal o se hai bisogno di funzionalità di GKE Identity Service che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.

  3. Configura l'accesso degli utenti ai cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso utente per GKE Identity Service.

LDAP

Accedi ai cluster

Dopo aver configurato GKE Identity Service, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la console Google Cloud.