使用 GKE Identity Service 管理身份

Google Distributed Cloud 支持使用 OpenID Connect (OIDC)轻量级目录访问协议 (LDAP) 作为身份验证机制,以便使用 GKE Identity Service 与集群的 Kubernetes API 服务器进行交互。GKE Identity Service 是一项身份验证服务,可让您将用于身份验证的现有身份解决方案引入多个 GKE Enterprise 环境。用户可以从命令行(所有提供方)或 Google Cloud 控制台(仅限 OIDC)登录并使用您的 GKE 集群,所有这些都使用您现有的身份提供方。

GKE Identity Service 适用于任何类型的裸机集群:管理员集群、用户集群、混合集群或独立集群。您可以使用本地和可公开访问的身份提供方。例如,如果您的企业运行 Active Directory 联合服务 (ADFS) 服务器,则 ADFS 服务器可以充当您的 OpenID 提供商。您还可以使用可公开访问的身份提供方服务,例如 Okta。身份提供方证书可由众所周知的公共证书授权机构 (CA) 或私有 CA 颁发。

如需简要了解 GKE Identity Service 的工作原理,请参阅 GKE Identity Service 简介

如果您已使用或想要使用 Google ID 而不是 OIDC 或 LDAP 提供方来登录 GKE 集群,我们建议您使用 Connect Gateway 进行身份验证。如需了解详情,请参阅使用 Connect 网关连接到已注册的集群

准备工作

  • 请注意,不支持无头系统。基于浏览器的身份验证流程用于提示用户同意并授权其用户帐号。

  • 如需通过 Google Cloud 控制台进行身份验证,您必须向项目舰队注册要配置的每个集群。

设置过程和选项

GKE Identity Service 支持使用以下协议的身份提供商:

  • OpenID Connect (OIDC)。我们提供了一些关于设置常用 OpenID 提供商(包括 Microsoft)的具体说明,但您可以使用任何实现了 OIDC 的提供商。

  • 轻量级目录访问协议 (LDAP)。您可以使用 GKE Identity Service 通过 LDAP 与 Active Directory 或 LDAP 服务器进行身份验证。

OIDC

  1. 按照为 GKE Identity Service 配置提供方中的说明,向 OIDC 提供方将 GKE Identity Service 注册为客户端。

  2. 选择以下集群配置选项之一:

    • 按照为舰队级 GKE Identity Service 配置集群(预览版,Google Distributed Cloud 1.8 及更高版本)中的说明在舰队层级配置集群。使用此选项时,您的身份验证配置将由 Google Cloud 集中管理。

    • 按照使用 OIDC 为 GKE Identity Service 配置集群中的说明逐个配置集群。由于舰队级设置是一项预览版功能,因此如果您使用的是早期版本的 Google Distributed Cloud,或者需要使用舰队级生命周期管理尚不支持的 GKE Identity Service 功能,则可能需要在生产环境中使用此选项。

  3. 按照为 GKE Identity Service 设置用户访问权限中的说明,设置对集群的用户访问权限,包括基于角色的访问权限控制 (RBAC)。

LDAP

访问集群

设置 GKE Identity Service 后,用户可以使用命令行或 Google Cloud 控制台登录已配置的集群。