Esta página foi traduzida pela API Cloud Translation.

Faça a gestão da identidade com o serviço de identidade do GKE

O Google Distributed Cloud suporta o OpenID Connect (OIDC) e o Lightweight Directory Access Protocol (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster, através do GKE Identity Service. O serviço de identidade do GKE é um serviço de autenticação que lhe permite usar as suas soluções de identidade existentes para autenticação nos seus clusters. Os utilizadores podem iniciar sessão e usar clusters a partir da linha de comandos (todos os fornecedores) ou da Google Cloud consola (apenas OIDC), tudo usando o seu fornecedor de identidade existente.

O serviço de identidade do GKE funciona com qualquer tipo de cluster bare metal: admin, user, híbrido ou autónomo. Pode usar fornecedores de identidade no local e acessíveis publicamente. Por exemplo, se a sua empresa executar um servidor dos Serviços de federação do Active Directory (ADFS), o servidor ADFS pode funcionar como o seu fornecedor OpenID. Também pode usar serviços de fornecedores de identidade acessíveis publicamente, como o Okta. Os certificados do fornecedor de identidade podem ser emitidos por uma autoridade de certificação (AC) pública conhecida ou por uma AC privada.

CREATE

Para uma vista geral do funcionamento do GKE Identity Service, consulte o artigo Apresentamos o GKE Identity Service.

Se já usa ou quer usar IDs Google para iniciar sessão nos seus clusters do GKE em vez de um fornecedor OIDC ou LDAP, recomendamos que use o gateway Connect para autenticação. Saiba mais em Estabelecer ligação a clusters registados com o gateway de ligação.

Antes de começar

Para pedir o consentimento aos utilizadores e autorizar a respetiva conta de utilizador, é usado um fluxo de autenticação baseado no navegador. Os sistemas sem monitor não são compatíveis.
Para fazer a autenticação através da Google Cloud consola, cada cluster que quer configurar tem de estar registado na sua frota de projetos.

Processo e opções de configuração

O serviço de identidade do GKE suporta fornecedores de identidade que usam os seguintes protocolos:

OpenID Connect (OIDC). Fornecemos instruções específicas de configuração para alguns fornecedores OpenID populares, incluindo a Microsoft, mas pode usar qualquer fornecedor que implemente o OIDC.
Lightweight Directory Access Protocol (LDAP). Pode usar o serviço de identidade do GKE para fazer a autenticação através do LDAP com o Active Directory ou um servidor LDAP.

OIDC

Registe o GKE Identity Service como um cliente junto do seu fornecedor de OIDC seguindo as instruções em Configurar fornecedores para o GKE Identity Service.
Escolha uma das seguintes opções de configuração do cluster:
- Configure os seus clusters ao nível da frota seguindo as instruções em Configurar clusters para o GKE Identity Service ao nível da frota (pré-visualização, Google Distributed Cloud versão 1.8 e superior). Com esta opção, a configuração de autenticação é gerida centralmente pela Google Cloud.
- Configure os clusters individualmente seguindo as instruções em Configurar clusters para o serviço de identidade do GKE com OIDC. Uma vez que a configuração ao nível da frota é uma funcionalidade de pré-visualização, recomendamos que use esta opção em ambientes de produção se estiver a usar uma versão anterior do Google Distributed Cloud ou se precisar de funcionalidades do GKE Identity Service que ainda não são suportadas com a gestão do ciclo de vida ao nível da frota.
Configure o acesso dos utilizadores aos seus clusters, incluindo o controlo de acesso baseado em funções (RBAC), seguindo as instruções em Configurar o acesso dos utilizadores para o GKE Identity Service.

LDAP

Para começar a usar o LDAP, siga as instruções em Configurar o serviço de identidade do GKE com o LDAP.

Aceda a clusters

Depois de o GKE Identity Service estar configurado, os utilizadores podem iniciar sessão em clusters configurados através da linha de comandos ou da Google Cloud consola.

Saiba como iniciar sessão em clusters registados com o seu ID OIDC ou LDAP em Aceder a clusters através do GKE Identity Service.
Saiba como iniciar sessão em clusters a partir da Google Cloud consola em Trabalhar com clusters a partir da Google Cloud consola (apenas OIDC).

Resolva problemas do fluxo de início de sessão

Para resolver problemas de fluxos de início de sessão que autenticam diretamente no servidor do GKE Identity Service com um nome de domínio totalmente qualificado (FQDN), pode usar a utilidade de diagnóstico do GKE Identity Service. O utilitário de diagnóstico simula fluxos de início de sessão com o seu fornecedor de OIDC para identificar rapidamente problemas de configuração. Esta ferramenta requer um cluster da versão 1.32 ou superior e só suporta OIDC. Para mais informações, consulte a utilidade de diagnóstico do serviço de identidade do GKE.

Faça a gestão da identidade com o serviço de identidade do GKE Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.