Identität mit GKE Identity Service verwalten

Google Distributed Cloud unterstützt OpenID Connect (OIDC) und Lightweight Directory Access Protocol (LDAP) als Authentifizierungsmechanismen für die Interaktion mit dem Kubernetes API-Server eines Clusters über GKE Identity Service. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren GKE Enterprise-Umgebungen verwenden können. Nutzer können sich über die Befehlszeile (alle Anbieter) oder über die Google Cloud Console (nur OIDC) mit Ihrem vorhandenen Identitätsanbieter bei Ihren GKE-Clustern anmelden und diese verwenden.

Der GKE Identity Service kann mit jeder Art von Bare-Metal-Cluster verwendet werden: Administrator-, Nutzer-, Hybrid- oder eigenständiger Cluster. Sie können sowohl lokale als auch öffentlich erreichbare Identitätsanbieter verwenden. Wenn Ihr Unternehmen beispielsweise einen ADFS-Server (Active Directory Federation Services) ausführt, kann dieser als OpenID-Anbieter dienen. Sie können auch öffentlich erreichbare Dienste von Identitätsanbietern wie Okta nutzen. Zertifikate von Identitätsanbietern können entweder von einer bekannten öffentlichen Zertifizierungsstelle oder von einer privaten Zertifizierungsstelle ausgestellt werden.

Eine Übersicht über die Funktionsweise des GKE Identity Service finden Sie unter Einführung in den GKE Identity Service.

Wenn Sie bereits Google-IDs anstelle eines OIDC- oder LDAP-Anbieters für die Anmeldung bei Ihren GKE-Clustern verwenden oder verwenden möchten, empfehlen wir, das Connect Gateway für die Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Über das Connect-Gateway eine Verbindung zu registrierten Clustern herstellen.

Hinweise

  • Beachten Sie, dass monitorlose Systeme nicht unterstützt werden. Ein browserbasierter Authentifizierungsvorgang wird verwendet, um die Einwilligung der Nutzer einzuholen und ihr Nutzerkonto zu autorisieren.

  • Für die Authentifizierung über die Google Cloud Console muss jeder Cluster, den Sie konfigurieren möchten, bei Ihrer Projektflotte registriert werden.

Einrichtungsprozess und -optionen

Der GKE Identity Service unterstützt Identitätsanbieter, die die folgenden Protokolle verwenden:

  • OpenID Connect (OIDC). Wir bieten spezifische Anleitungen zur Einrichtung für einige gängige OpenID-Anbieter, einschließlich Microsoft, Sie können aber jeden Anbieter verwenden, der OIDC implementiert.

  • Lightweight Directory Access Protocol (LDAP) Sie können den GKE-Identitätsdienst verwenden, um sich über LDAP mit Active Directory oder einem LDAP-Server zu authentifizieren.

OIDC

  1. Registrieren Sie den GKE Identity Service als Client bei Ihrem OIDC-Anbieter. Folgen Sie dazu der Anleitung unter Anbieter für GKE Identity Service konfigurieren.

  2. Wählen Sie eine der folgenden Clusterkonfigurationsoptionen aus:

    • Konfigurieren Sie Ihre Cluster auf Flottenebene gemäß der Anleitung unter Cluster für GKE Identity Service auf Flottenebene konfigurieren (Vorabversion, Google Distributed Cloud Version 1.8 und höher). Mit dieser Option wird Ihre Authentifizierungskonfiguration zentral von Google Cloud verwaltet.

    • Konfigurieren Sie Ihre Cluster einzeln. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service mit OIDC konfigurieren. Da die Einrichtung auf Flottenebene eine Vorabversion ist, sollten Sie diese Option in Produktionsumgebungen verwenden, wenn Sie eine frühere Version von Google Distributed Cloud verwenden oder wenn Sie GKE Identity Service-Features benötigen, die noch nicht mit der Lebenszyklusverwaltung auf Flottenebene unterstützt werden.

  3. Richten Sie den Nutzerzugriff auf Ihre Cluster ein, einschließlich der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). Folgen Sie dazu der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten.

LDAP

Auf Cluster zugreifen

Nachdem der GKE Identity Service eingerichtet wurde, können sich Nutzer über die Befehlszeile oder die Google Cloud Console bei konfigurierten Clustern anmelden.