GKE Identity Service로 ID 관리

베어메탈용 GKE는 GKE Identity Service를 사용하여 OpenID Connect(OIDC)경량 디렉터리 액세스 프로토콜(LDAP)을 클러스터의 Kubernetes API와 상호작용하기 위한 인증 메커니즘으로 지원합니다. GKE Identity Service는 인증을 위한 기존 ID 솔루션을 여러 GKE Enterprise 환경에 적용할 수 있게 해주는 인증 서비스입니다. 명령줄(모든 공급업체) 또는 Google Cloud 콘솔(OIDC만 해당)에서 모두 기존 ID 공급업체를 사용하여 GKE 클러스터에 로그인하고 이를 사용할 수 있습니다.

GKE Identity Service는 관리자, 사용자, 하이브리드 또는 독립형 등 모든 종류의 베어메탈 클러스터에서 작동합니다. 온프레미스 및 공개적으로 연결 가능한 ID 공급업체 모두 사용할 수 있습니다. 예를 들어 기업에서 Active Directory Federation Services(ADFS) 서버를 실행하는 경우 ADFS 서버가 OpenID 제공업체 역할을 할 수 있습니다. Okta와 같은 공개적으로 연결 가능한 ID 공급업체 서비스를 사용할 수도 있습니다. ID 공급업체 인증서는 잘 알려진 공공 인증 기관(CA) 또는 민간 CA에서 발급받을 수 있습니다.

GKE Identity Service 작동 방식에 대한 개요는 GKE Identity Service 소개를 참조하세요.

OIDC 또는 LDAP 제공업체 대신 GKE 클러스터에 로그인하기 위해 Google ID를 이미 사용 중이거나 사용하려는 경우에는 인증에 Connect 게이트웨이를 사용하는 것이 좋습니다. 자세한 내용은 Connect 게이트웨이를 사용하여 등록된 클러스터에 연결을 참조하세요.

시작하기 전에

  • 헤드리스 시스템은 지원되지 않습니다. 브라우저 기반 인증 흐름은 사용자 동의를 구하고 사용자 계정을 승인하는 데 사용됩니다.

  • Google Cloud 콘솔을 통해 인증하려면 구성하려는 각 클러스터가 프로젝트 Fleet에 등록되어 있어야 합니다.

설정 프로세스 및 옵션

GKE Identity Service는 다음 프로토콜을 사용하여 ID 공급업체를 지원합니다.

  • OpenID Connect(OIDC). Google에서는 Microsoft를 비롯한 일부 인기 있는 OpenID 제공업체의 설정을 위한 구체적인 안내를 제공하지만 개발자는 OIDC를 구현하는 모든 제공업체를 사용할 수 있습니다.

  • 경량 디렉터리 액세스 프로토콜(LDAP). GKE Identity Service를 사용하면 Active Directory의 LDAP 또는 LDAP 서버를 사용하여 인증할 수 있습니다.

OIDC

  1. GKE Identity Service 제공업체 구성의 안내에 따라 GKE Identity Service를 클라이언트로 OIDC 제공업체에 등록합니다.

  2. 다음 클러스터 구성 옵션 중에서 선택합니다.

    • Fleet 수준 GKE Identity Service를 위한 클러스터 구성(미리보기, 베어메탈용 GKE 버전 1.8 이상)의 안내에 따라 Fleet 수준에서 클러스터를 구성합니다. 이 옵션을 사용하면 Google Cloud에서 인증 구성을 중앙 관리합니다.

    • OIDC로 GKE Identity Service를 위한 클러스터 구성의 안내에 따라 클러스터를 개별적으로 구성합니다. Fleet 수준 설정은 미리보기 기능이므로 이전 버전의 베어메탈용 GKE를 사용하거나 아직 Fleet 수준 수명 주기 관리로 지원되지 않는 GKE Identity Service 기능이 필요한 경우 프로덕션 환경에서 이 옵션을 사용해야 할 수 있습니다.

  3. GKE Identity Service를 위한 사용자 액세스 설정의 안내에 따라 역할 기반 액세스 제어(RBAC)를 포함하여 클러스터에 대한 사용자 액세스 권한을 설정합니다.

LDAP

클러스터 액세스

GKE Identity Service가 설정된 후 사용자는 명령줄 또는 Google Cloud 콘솔을 사용하여 구성된 클러스터에 로그인할 수 있습니다.