Mengelola identitas dengan Identity Service GKE

Google Distributed Cloud mendukung OpenID Connect (OIDC) dan Lightweight Directory Access Protocol (LDAP) sebagai mekanisme autentikasi untuk berinteraksi dengan server Kubernetes API cluster, menggunakan Layanan Identitas GKE. Identity Service GKE adalah layanan autentikasi yang memungkinkan Anda membawa solusi identitas yang ada untuk autentikasi ke beberapa lingkungan GKE Enterprise. Pengguna dapat login ke dan menggunakan cluster GKE Anda dari command line (semua penyedia) atau dari konsol Google Cloud (khusus OIDC), semuanya menggunakan penyedia identitas yang ada.

Identity Service GKE berfungsi dengan semua jenis cluster bare metal: admin, pengguna, hibrida, atau mandiri. Anda dapat menggunakan penyedia identitas lokal dan yang dapat dijangkau publik. Misalnya, jika perusahaan Anda menjalankan server Active Directory Federation Services (ADFS), server ADFS dapat berfungsi sebagai penyedia OpenID Anda. Anda juga dapat menggunakan layanan penyedia identitas yang dapat dijangkau secara publik seperti Okta. Sertifikat penyedia identitas dapat diterbitkan oleh certificate authority (CA) publik yang dikenal baik, atau oleh CA pribadi.

Untuk ringkasan cara kerja Identity Service GKE, lihat Memperkenalkan Identity Service GKE.

Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE, bukan penyedia OIDC atau LDAP, sebaiknya gunakan gateway koneksi untuk autentikasi. Cari tahu selengkapnya di Menghubungkan ke cluster terdaftar dengan gateway connect.

Sebelum memulai

  • Perhatikan bahwa sistem headless tidak didukung. Alur autentikasi berbasis browser digunakan untuk meminta persetujuan pengguna dan memberikan otorisasi ke akun pengguna mereka.

  • Untuk melakukan autentikasi melalui konsol Google Cloud, setiap cluster yang ingin Anda konfigurasikan harus terdaftar dengan fleet project Anda.

Proses dan opsi penyiapan

Identity Service GKE mendukung penyedia identitas yang menggunakan protokol berikut:

  • OpenID Connect (OIDC). Kami memberikan petunjuk khusus untuk penyiapan beberapa penyedia OpenID populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia apa pun yang menerapkan OIDC.

  • Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.

OIDC

  1. Daftarkan Identity Service GKE sebagai klien dengan penyedia OIDC Anda mengikuti petunjuk di Mengonfigurasi penyedia untuk Identity Service GKE.

  2. Pilih dari opsi konfigurasi cluster berikut:

    • Konfigurasikan cluster Anda di tingkat fleet dengan mengikuti petunjuk di Mengonfigurasi cluster untuk Identity Service GKE tingkat fleet (pratinjau, Google Distributed Cloud versi 1.8 dan yang lebih baru). Dengan opsi ini, konfigurasi autentikasi Anda dikelola secara terpusat oleh Google Cloud.

    • Konfigurasikan cluster Anda satu per satu dengan mengikuti petunjuk dalam Mengonfigurasi cluster untuk Identity Service GKE dengan OIDC. Karena penyiapan tingkat fleet adalah fitur pratinjau, sebaiknya gunakan opsi ini di lingkungan produksi, jika Anda menggunakan Google Distributed Cloud versi sebelumnya, atau jika Anda memerlukan fitur GKE Identity Service yang belum didukung dengan pengelolaan siklus proses tingkat fleet.

  3. Siapkan akses pengguna ke cluster Anda, termasuk kontrol akses berbasis peran (RBAC), dengan mengikuti petunjuk di Menyiapkan akses pengguna untuk Identity Service GKE.

LDAP

Mengakses cluster

Setelah Layanan Identitas GKE disiapkan, pengguna dapat login ke cluster yang dikonfigurasi menggunakan command line atau konsol Google Cloud.