Google Distributed Cloud supporta OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come autenticazione meccanismi per interagire con il server API Kubernetes di un cluster, utilizzando GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di portare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti GKE Enterprise. Gli utenti possono accedere e utilizzare i cluster GKE dalla riga di comando (tutti i provider) o Console Google Cloud (solo OIDC), utilizzando il tuo provider di identità esistente.
GKE Identity Service funziona con qualsiasi tipo di cluster bare metal: amministratore, utente, ibrido o autonomo. Puoi utilizzare sia on-premise che pubblicamente e i provider di identità. Ad esempio, se la tua azienda esegue Active Directory Servizi di federazione (ADFS) server ADFS, potrebbe fungere da provider OpenID. Potresti anche usare e accessibili pubblicamente come Okta. Provider di identità i certificati possono essere emessi da un'autorità di certificazione pubblica (CA) o da una CA privata.
Per una panoramica del funzionamento del servizio di identità GKE, consulta Introduzione GKE Identity Service.
Se usi già o vuoi utilizzare gli ID Google per accedere ai tuoi cluster GKE anziché un provider OIDC o LDAP, consigliamo di utilizzare il protocollo gateway VPN ad alta disponibilità per l'autenticazione. Per saperne di più, consulta Connessione ai cluster registrati con il gateway Connect.
Prima di iniziare
Tieni presente che i sistemi headless non sono supportati. Un'autenticazione basata su browser viene utilizzato per richiedere il consenso agli utenti e autorizzare il proprio account utente.
Per eseguire l'autenticazione tramite la console Google Cloud, ogni cluster che vuoi devono essere registrati con il tuo progetto parco risorse.
Procedura di configurazione e opzioni
Il servizio di identità GKE supporta i provider di identità che utilizzano protocolli:
OpenID Connect (OIDC). Forniamo le istruzioni specifiche per la configurazione di alcuni provider OpenID popolari, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
Protocollo di accesso alla directory leggero (LDAP). Puoi utilizzare la modalità GKE Identity Service per eseguire l'autenticazione tramite LDAP con Active Directory o un server LDAP.
OIDC
Registra il servizio di identità GKE come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurare i provider GKE Identity Service.
Scegli tra le seguenti opzioni di configurazione del cluster:
Configura i cluster a livello di parco risorse seguendo le istruzioni in Configurazione dei cluster per il parco risorse a livello di parco risorse GKE Identity Service (anteprima, Google Distributed Cloud versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.
Configura i cluster singolarmente seguendo le istruzioni in Configurazione dei cluster per GKE Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità di anteprima, ti consigliamo di usare questa opzione in produzione ambienti, se utilizzi una versione precedente Google Distributed Cloud o se hai bisogno del servizio di identità GKE funzionalità che non sono ancora supportate con il ciclo di vita a livello di parco risorse gestione dei dispositivi.
Configura l'accesso degli utenti ai cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni in Configurare l'accesso utente per GKE Identity Service.
LDAP
- Segui le istruzioni in Configurare il servizio di identità GKE con LDAP.
Accedi ai cluster
Dopo la configurazione del servizio di identità GKE, gli utenti possono accedere all'account utilizzando la riga di comando o la console Google Cloud.
Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accesso ai cluster tramite GKE Identity Service.
Scopri come accedere ai cluster dalla console Google Cloud in Lavoro con i cluster Console Google Cloud (solo OIDC).