GKE en Bare Metal admite OpenID Connect (OIDC) y el Protocolo ligero de acceso a directorios (LDAP) como mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster mediante GKE Identity Service. GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad existentes para la autenticación en varios entornos de GKE Enterprise. Los usuarios pueden acceder a los clústeres de GKE y usarlos desde la línea de comandos (todos los proveedores) o desde la consola de Google Cloud (solo OIDC), todo con tu proveedor de identidad existente.
GKE Identity Service funciona con cualquier tipo de clúster de Bare Metal: administrador, usuario, híbrido o independiente. Puedes usar proveedores de identidad locales y de acceso público. Por ejemplo, si tu empresa ejecuta un servidor de Servicios de federación de Active Directory (ADFS), este podría funcionar como tu proveedor de OpenID. También puedes usar servicios de proveedores de identidad de acceso público, como Okta. Los certificados de proveedores de identidad pueden ser emitidos por una autoridad certificadora (AC) pública conocida o por una AC privada.
Para obtener una descripción general de cómo funciona GKE Identity Service, consulta Introducción a GKE Identity Service.
Si ya usas o deseas usar los IDs de Google para acceder a los clústeres de GKE en lugar de un proveedor de OIDC o LDAP, te recomendamos que uses la puerta de enlace Connect para la autenticación. Obtén más información en Conéctate a clústeres registrados con la puerta de enlace de Connect.
Antes de comenzar
Ten en cuenta que los sistemas sin interfaz gráfica no son compatibles. Se usa un flujo de autenticación basado en el navegador para solicitar el consentimiento de los usuarios y autorizar su cuenta.
Para autenticar a través de la consola de Google Cloud, cada clúster que desees configurar debe estar registrado en la flota de tu proyecto.
Proceso y opciones de configuración
GKE Identity Service admite proveedores de identidad que usen los siguientes protocolos:
OpenID Connect (OIDC). Brindamos instrucciones específicas para la configuración de algunos proveedores populares de OpenID, incluido Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
Protocolo ligero de acceso a directorios (LDAP). Puedes usar GKE Identity Service para autenticar mediante LDAP con Active Directory o un servidor de LDAP.
OIDC
Registra el servicio de identidad de GKE como un cliente con tu proveedor de OIDC según las instrucciones de Configura proveedores para GKE Identity Service.
Elige entre las siguientes opciones de configuración del clúster:
Configura los clústeres a nivel de la flota según las instrucciones en Configura clústeres para GKE Identity Service a nivel de la flota (vista previa, GKE en Bare Metal versión 1.8 y posteriores). Con esta opción, Google Cloud administra de forma centralizada tu configuración de autenticación.
Configura los clústeres de forma individual siguiendo las instrucciones en Configura clústeres para GKE Identity Service con OIDC. Debido a que la configuración a nivel de la flota es una función de vista previa, es posible que desees usar esta opción en entornos de producción si usas una versión anterior de GKE en Bare Metal o si necesitas funciones de GKE Identity Service que aún no son compatibles con la administración del ciclo de vida a nivel de la flota.
Configura el acceso de usuario a tus clústeres, incluido el control de acceso basado en funciones (RBAC), siguiendo las instrucciones en Configura el acceso de usuario para GKE Identity Service.
LDAP
- Sigue las instrucciones en Configura GKE Identity Service con LDAP.
Clústeres de acceso
Después de configurar GKE Identity Service, los usuarios pueden acceder a los clústeres configurados mediante la línea de comandos o la consola de Google Cloud.
Obtén información para acceder a clústeres registrados con tu ID de OIDC o LDAP en Accede a clústeres con GKE Identity Service.
Aprende a acceder a los clústeres desde la consola de Google Cloud en Trabaja con clústeres de la consola de Google Cloud (solo en OIDC).