GKE di Bare Metal mendukung OpenID Connect (OIDC) dan Lightweight Directory Access Protocol (LDAP) sebagai mekanisme autentikasi untuk berinteraksi dengan server Kubernetes API cluster, menggunakan GKE Identity Service. GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda menghadirkan solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan GKE Enterprise. Pengguna dapat login dan menggunakan cluster GKE Anda dari command line (semua penyedia) atau dari Konsol Google Cloud (khusus OIDC), semuanya menggunakan penyedia identitas Anda yang sudah ada.
GKE Identity Service dapat digunakan dengan semua jenis cluster bare metal: admin, pengguna, hybrid, atau mandiri. Anda dapat menggunakan penyedia identitas lokal dan penyedia identitas yang dapat dijangkau secara publik. Misalnya, jika perusahaan Anda menjalankan server Active Directory Federation Services (ADFS), server ADFS dapat berfungsi sebagai penyedia OpenID Anda. Anda juga dapat menggunakan layanan penyedia identitas yang dapat dijangkau secara publik seperti Okta. Sertifikat penyedia identitas dapat diterbitkan oleh certificate authority (CA) publik terkenal atau oleh CA pribadi.
Untuk ringkasan cara kerja GKE Identity Service, lihat Memperkenalkan GKE Identity Service.
Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE, bukan penyedia OIDC atau LDAP, sebaiknya gunakan gateway Connect untuk autentikasi. Cari tahu selengkapnya di Menghubungkan ke cluster terdaftar dengan gateway Connect.
Sebelum memulai
Perlu diperhatikan bahwa sistem headless tidak didukung. Alur autentikasi berbasis browser digunakan untuk meminta izin pengguna dan memberikan otorisasi pada akun pengguna mereka.
Untuk melakukan autentikasi melalui Konsol Google Cloud, setiap cluster yang ingin dikonfigurasi harus didaftarkan ke fleet project Anda.
Proses dan opsi penyiapan
GKE Identity Service mendukung penyedia identitas menggunakan protokol berikut:
OpenID Connect (OIDC). Kami memberikan petunjuk khusus untuk penyiapan beberapa penyedia OpenID populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia apa pun yang menerapkan OIDC.
Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
OIDC
Daftarkan GKE Identity Service sebagai klien dengan penyedia OIDC Anda dengan mengikuti petunjuk dalam Mengonfigurasi penyedia untuk GKE Identity Service.
Pilih dari opsi konfigurasi cluster berikut:
Konfigurasikan cluster Anda pada level fleet dengan mengikuti petunjuk di Mengonfigurasi cluster untuk GKE Identity Service level fleet (pratinjau, GKE pada Bare Metal versi 1.8 dan yang lebih baru). Dengan opsi ini, konfigurasi autentikasi Anda dikelola secara terpusat oleh Google Cloud.
Konfigurasikan cluster Anda satu per satu dengan mengikuti petunjuk dalam Mengonfigurasi cluster untuk GKE Identity Service dengan OIDC. Karena penyiapan level fleet merupakan fitur pratinjau, sebaiknya gunakan opsi ini di lingkungan produksi, jika Anda menggunakan GKE versi lama di Bare Metal, atau jika Anda memerlukan fitur GKE Identity Service yang belum didukung dengan pengelolaan siklus proses level fleet.
Siapkan akses pengguna ke cluster Anda, termasuk role-based access control (RBAC), dengan mengikuti petunjuk dalam Menyiapkan akses pengguna untuk GKE Identity Service.
LDAP
- Ikuti petunjuk di Menyiapkan GKE Identity Service dengan LDAP.
Cluster akses
Setelah GKE Identity Service siap, pengguna dapat login ke cluster yang dikonfigurasi menggunakan command line atau Konsol Google Cloud.
Pelajari cara login ke cluster terdaftar dengan ID OIDC atau LDAP Anda di bagian Mengakses cluster menggunakan GKE Identity Service.
Pelajari cara login ke cluster dari Konsol Google Cloud di Bekerja dengan cluster dari Konsol Google Cloud (khusus OIDC).