Identität mit dem GKE Identity Service verwalten

GKE on Bare Metal unterstützt OpenID Connect (OIDC) und Lightweight Directory Access Protocol (LDAP) als Authentifizierungsmechanismen für die Interaktion mit dem Kubernetes API-Server eines Clusters über GKE Identity Service. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren GKE Enterprise-Umgebungen verwenden können. Nutzer können sich mit Ihrem vorhandenen Identitätsanbieter über die Befehlszeile (alle Anbieter) oder die Google Cloud Console (nur OIDC) in Ihren GKE-Clustern anmelden und diese verwenden.

GKE Identity Service funktioniert mit jeder Art von Bare-Metal-Cluster: Administrator, Nutzer, Hybrid- oder eigenständiger Cluster. Sie können sowohl lokale als auch öffentlich erreichbare Identitätsanbieter verwenden. Wenn Ihr Unternehmen beispielsweise einen ADFS-Server (Active Directory Federation Services) ausführt, kann der ADFS-Server als OpenID-Anbieter dienen. Sie können auch öffentlich erreichbare Identitätsanbieterdienste wie Okta verwenden. Zertifikate von Identitätsanbietern können entweder von einer bekannten öffentlichen Zertifizierungsstelle oder von einer privaten Zertifizierungsstelle ausgestellt werden.

Eine Übersicht über die Funktionsweise des GKE Identity Service finden Sie unter Einführung in den GKE Identity Service.

Wenn Sie sich in Ihren GKE-Clustern bereits mit Google-IDs und nicht bei einem OIDC- oder LDAP-Anbieter anmelden möchten, empfehlen wir die Verwendung des Connect-Gateways zur Authentifizierung. Weitere Informationen finden Sie unter Über das Connect-Gateway eine Verbindung zu registrierten Clustern herstellen.

Hinweise

  • Beachten Sie, dass monitorlose Systeme nicht unterstützt werden. Ein browserbasierter Authentifizierungsvorgang wird verwendet, um Nutzer zur Einwilligung aufzufordern und ihr Nutzerkonto zu autorisieren.

  • Für die Authentifizierung über die Google Cloud Console muss jeder Cluster, den Sie konfigurieren möchten, bei Ihrer Projektflotte registriert sein.

Einrichtungsprozess und -optionen

Der GKE Identity Service unterstützt Identitätsanbieter mit den folgenden Protokollen:

  • OpenID Connect (OIDC). Wir stellen spezielle Anleitungen für die Einrichtung für einige beliebte OpenID-Anbieter bereit, einschließlich Microsoft. Sie können jedoch jeden Anbieter verwenden, der OIDC implementiert.

  • Lightweight Directory Access Protocol (LDAP). Mit dem GKE Identity Service können Sie sich über LDAP mit Active Directory oder einem LDAP-Server authentifizieren.

OIDC

  1. Registrieren Sie den GKE Identity-Dienst als Client bei Ihrem OIDC-Anbieter. Folgen Sie dazu der Anleitung unter Anbieter für GKE Identity-Dienst konfigurieren.

  2. Wählen Sie eine der folgenden Clusterkonfigurationsoptionen aus:

    • Konfigurieren Sie Ihre Cluster auf Flottenebene. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service auf Flottenebene konfigurieren (Vorabversion, GDCV für Bare Metal-Version 1.8 und höher). Mit dieser Option wird Ihre Authentifizierungskonfiguration zentral von Google Cloud verwaltet.

    • Konfigurieren Sie Ihre Cluster einzeln. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service mit OIDC konfigurieren. Da die Einrichtung auf Flottenebene eine Vorabversion ist, sollten Sie diese Option in Produktionsumgebungen verwenden, wenn Sie eine frühere Version von GKE on Bare Metal verwenden oder wenn Sie Features von GKE Identity Service benötigen, die noch nicht von der Lebenszyklusverwaltung auf Flottenebene unterstützt werden.

  3. Richten Sie den Nutzerzugriff auf Ihre Cluster ein, einschließlich rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC). Folgen Sie dazu der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten.

LDAP

Auf Cluster zugreifen

Nachdem GKE Identity Service eingerichtet wurde, können sich Nutzer über die Befehlszeile oder die Google Cloud Console in konfigurierten Clustern anmelden.