GKE on Bare Metal は、GKE Identity Service を使用してクラスタの Kubernetes API サーバーとやり取りする認証メカニズムとして、OpenID Connect(OIDC)と Lightweight Directory Access Protocol(LDAP)をサポートしています。GKE Identity Service は、認証を目的とする既存の ID ソリューションを複数の GKE Enterprise 環境で利用できるようにする認証サービスです。ユーザーは、既存の ID プロバイダを使用してコマンドライン(すべてのプロバイダ)または Google Cloud コンソール(OIDC のみ)からログインし、GKE クラスタを使用できます。
GKE Identity Service は、管理、ユーザー、ハイブリッド、スタンドアロンなど、あらゆる種類のベアメタル クラスタで動作します。オンプレミスと公開アクセス可能な ID プロバイダの両方を使用できます。たとえば、企業で Active Directory フェデレーション サービス(ADFS)サーバーが実行されている場合、ADFS サーバーは OpenID プロバイダとして機能します。Okta など、一般公開されている ID プロバイダ サービスを使用することもできます。ID プロバイダの証明書は広く知られたパブリック認証局(CA)またはプライベート CA によって発行されます。
GKE Identity Service の仕組みの概要については、GKE Identity Service の概要をご覧ください。
OIDC または LDAP プロバイダではなく Google ID をすでに使用しているか、使用して GKE クラスタにログインする必要がある場合は、認証に Connect ゲートウェイを使用することをおすすめします。詳細については、Connect Gateway を使用した登録済みクラスタへの接続をご覧ください。
準備
ヘッドレス システムはサポートされていません。ブラウザベースの認証フローが使用されて、ユーザーに同意を求め、ユーザー アカウントを認可します。
Google Cloud コンソールで認証するには、構成する各クラスタをプロジェクト フリートに登録する必要があります。
設定手順とオプション
GKE Identity Service では、次のプロトコルを使用する ID プロバイダをサポートします。
OpenID Connect(OIDC)。ここでは、Microsoft を含む一部の一般的な OpenID プロバイダに関する特定の設定手順を説明しますが、OIDC を実装する任意のプロバイダを使用できます。
Lightweight Directory Access Protocol(LDAP)GKE Identity Service では、Active Directory または LDAP サーバーで LDAP を使用して認証を行うことができます。
OIDC
GKE Identity Service のプロバイダの構成の手順に沿って、GKE Identity Service をクライアントとして OIDC プロバイダに登録します。
次のクラスタ構成オプションから選択します。
フリートレベルの GKE Identity Service 用にクラスタを構成する(プレビュー、GDCV for Bare Metal バージョン 1.8 以降)の手順に沿って、フリートレベルでクラスタを構成します。このオプションを使用すると、認証構成は、Google Cloud で一元管理されます。
OIDC による GKE Identity Service 用のクラスタを構成するの手順に沿って、クラスタを個別に構成します。フリートレベルの設定はプレビュー機能であるため、以前のバージョンの GKE on Bare Metal を使用している場合や、フリートレベルのライフサイクル管理でサポートされていない GKE Identity Service 機能が必要な場合は、本番環境ではこのオプションを使用できます。
GKE Identity Service のユーザー アクセスを設定するの手順に沿って、クラスタへのユーザー アクセス(ロールベース アクセス制御(RBAC)を含む)を設定します。
LDAP
- LDAP で GKE Identity Service を設定するの手順を行います。
クラスタにアクセスする
GKE Identity Service が設定されると、ユーザーはコマンドラインまたは Google Cloud コンソールを使用して、構成済みのクラスタにログインできます。
GKE Identity Service を使用したクラスタへのアクセスで、OIDC または LDAP の ID を使用して登録済みクラスタにログインする方法を学習する。
Google Cloud コンソールからクラスタを操作するで、Google Cloud コンソールからクラスタにログインする方法を学習する(OIDC のみ)。