Google Distributed Cloud admite OpenID Connect (OIDC) y Lightweight Directory Access Protocol (LDAP) como mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster mediante el servicio de identidad de GKE. GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad para autenticarte en tus clústeres. Los usuarios pueden iniciar sesión y usar clústeres desde la línea de comandos (todos los proveedores) o desde la consola de Google Cloud (solo OIDC), todo ello con tu proveedor de identidades.
GKE Identity Service funciona con cualquier tipo de clúster de hardware desnudo: de administrador, de usuario, híbrido o independiente. Puede usar proveedores de identidades locales y accesibles públicamente. Por ejemplo, si tu empresa utiliza un servidor de Servicios de federación de Active Directory (ADFS), este servidor podría actuar como proveedor de OpenID. También puedes usar servicios de proveedores de identidades accesibles públicamente, como Okta. Los certificados de proveedor de identidades pueden ser emitidos por una autoridad de certificación (CA) pública conocida o por una CA privada.
Para obtener una descripción general de cómo funciona el servicio de identidad de GKE, consulta Presentamos el servicio de identidad de GKE.
Si ya usas o quieres usar IDs de Google para iniciar sesión en tus clústeres de GKE en lugar de un proveedor de OIDC o LDAP, te recomendamos que uses la pasarela de conectividad para la autenticación. Consulta más información en el artículo Conectarse a clústeres registrados con la pasarela de conexión.
Antes de empezar
Para pedir el consentimiento de los usuarios y autorizar su cuenta de usuario, se usa un flujo de autenticación basado en navegador. Los sistemas sin interfaz gráfica no son compatibles.
Para autenticarte a través de la consola Google Cloud , cada clúster que quieras configurar debe estar registrado en tu flota de proyectos.
Proceso y opciones de configuración
GKE Identity Service admite proveedores de identidades que usan los siguientes protocolos:
OpenID Connect (OIDC). Proporcionamos instrucciones específicas para configurar algunos proveedores de OpenID populares, como Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
Protocolo ligero de acceso a directorios (LDAP). Puedes usar GKE Identity Service para autenticarte mediante LDAP con Active Directory o un servidor LDAP.
OIDC
Registra GKE Identity Service como cliente con tu proveedor de OIDC siguiendo las instrucciones de Configurar proveedores para GKE Identity Service.
Elige una de las siguientes opciones de configuración de clúster:
Configura tus clústeres a nivel de flota siguiendo las instrucciones que se indican en el artículo Configurar clústeres para GKE Identity Service a nivel de flota (versión preliminar, Google Distributed Cloud versión 1.8 y posteriores). Con esta opción, Google Cloudgestiona de forma centralizada tu configuración de autenticación.
Configura tus clústeres individualmente siguiendo las instrucciones de Configurar clústeres en el GKE Identity Service con OIDC. Como la configuración a nivel de flota es una función de vista previa, puede que quieras usar esta opción en entornos de producción si utilizas una versión anterior de Google Distributed Cloud o si necesitas funciones de GKE Identity Service que aún no se admiten con la gestión del ciclo de vida a nivel de flota.
Configura el acceso de los usuarios a tus clústeres, incluido el control de acceso basado en roles (RBAC), siguiendo las instrucciones que se indican en el artículo Configurar el acceso de los usuarios a GKE Identity Service.
LDAP
Para empezar a usar LDAP, sigue las instrucciones que se indican en el artículo Configurar GKE Identity Service con LDAP.
Acceder a clústeres
Una vez que se haya configurado el servicio de identidad de GKE, los usuarios podrán iniciar sesión en los clústeres configurados mediante la línea de comandos o la Google Cloud consola.
Consulta cómo iniciar sesión en clústeres registrados con tu ID de OIDC o LDAP en Acceder a clústeres con GKE Identity Service.
Consulta cómo iniciar sesión en clústeres desde la consola en Trabajar con clústeres desde la consola (solo OIDC). Google Cloud Google Cloud
Solucionar problemas del flujo de inicio de sesión
Para solucionar problemas con flujos de inicio de sesión que se autentican directamente en el servidor de Identity Service para GKE con un nombre de dominio completo (FQDN), puedes usar la utilidad de diagnóstico de Identity Service para GKE. La utilidad de diagnóstico simula flujos de inicio de sesión con tu proveedor de OIDC para identificar rápidamente problemas de configuración. Esta herramienta requiere un clúster con la versión 1.32 o una posterior y solo admite OIDC. Para obtener más información, consulta la utilidad de diagnóstico de Identity Service para GKE.