GKE on AWS unterstützt OpenID Connect (OIDC) und AWS IAM als Authentifizierungsmechanismus für die Interaktion mit dem Kubernetes API-Server eines Clusters mithilfe des GKE Identity Service. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren Umgebungen nutzen können. Nutzer können sich über die Befehlszeile oder die Google Cloud Console in Ihren GKE-Clustern anmelden und diese verwenden. Verwenden Sie dazu Ihren vorhandenen Identitätsanbieter.
Eine Übersicht über die Funktionsweise des GKE Identity Service finden Sie unter Einführung in den GKE Identity Service.
Wenn Sie sich bereits bei Ihren GKE-Clustern mit Google-Identitäten anmelden oder diese verwenden möchten, empfehlen wir die Verwendung des Befehls gcloud containers aws clusters get-credentials zur Authentifizierung. Weitere Informationen finden Sie unter Verbindung zum Cluster herstellen und sich authentifizieren.
OpenID Connect-Authentifizierung
Hinweise
Nutzer müssen eine Verbindung zur Steuerungsebene des Clusters herstellen können, um die OIDC-Authentifizierung zu verwenden. Siehe Verbindung zur Steuerungsebene Ihres Clusters herstellen.
Zur Authentifizierung über die Google Cloud Console müssen Sie jeden Cluster registrieren, den Sie mit Ihrer Projektflotte konfigurieren möchten. Bei GKE on AWS erfolgt dies automatisch, sobald Sie einen Knotenpool erstellt haben.
Damit sich Nutzer über die Google Cloud Console authentifizieren können, müssen alle Cluster, die Sie konfigurieren möchten, bei Ihrer Projektflotte registriert sein. Bei GKE on AWS erfolgt dies automatisch, sobald Sie einen Knotenpool erstellt haben.
Einrichtungsprozess und -optionen
Registrieren Sie den GKE Identity Service als Client bei Ihrem OIDC-Anbieter. Folgen Sie dazu der Anleitung unter Anbieter für GKE Identity Service konfigurieren.
Wählen Sie eine der folgenden Clusterkonfigurationsoptionen aus:
Konfigurieren Sie Ihre Cluster auf Flottenebene. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service auf Flottenebene konfigurieren. Bei dieser Option wird Ihre Authentifizierungskonfiguration zentral von Google Cloud verwaltet.
Konfigurieren Sie Ihre Cluster einzeln. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service mit OIDC konfigurieren.
Richten Sie den Nutzerzugriff auf Ihre Cluster ein, einschließlich rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC). Folgen Sie dazu der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten.
Auf Cluster zugreifen
Nachdem GKE Identity Service für einen Cluster eingerichtet wurde, können sich Nutzer über die Befehlszeile oder die Google Cloud Console bei Clustern anmelden.
- Informationen zum Anmelden bei registrierten Clustern mit Ihrer OIDC-ID finden Sie unter Mit GKE Identity Service auf Cluster zugreifen.
- Informationen zur Anmeldung bei Clustern über die Google Cloud Console finden Sie unter Über die Google Cloud Console bei einem Cluster anmelden.
AWS IAM-Authentifizierung
Die AWS IAM-Unterstützung für GKE on AWS verwendet den GKE Identity Service.
Hinweise
Nutzer müssen in der Lage sein, eine Verbindung zur Steuerungsebene des Clusters herzustellen, um die AWS IAM-Authentifizierung zu verwenden. Siehe Verbindung zur Steuerungsebene Ihres Clusters herstellen.
Einrichtungsprozess und -optionen
So konfigurieren Sie Ihren Cluster so, dass er die AWS IAM-Authentifizierung für eine bestimmte AWS-Region zulässt:
Bearbeiten Sie die Ressource
ClientConfigim Cluster:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-publicErsetzen Sie
KUBECONFIG_PATHdurch den Pfad zur kubeconfig-Datei Ihres Clusters, z. B.$HOME/.kube/config.Die ClientConfig-Ressource des Clusters wird in einem Texteditor geladen. Fügen Sie das Objekt
spec.authentication.awswie unten gezeigt hinzu. Ändern Sie keine bereits geschriebenen Standarddaten.apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGIONErsetzen Sie Folgendes:
NAME: Beliebiger Name dieser Authentifizierungsmethode, z. B. „aws-iam“.AWS_REGION: AWS-Region, in der die Nutzerinformationen abgerufen werden. Sie muss mit der Region übereinstimmen, die in der AWS-Befehlszeile Ihrer Nutzer konfiguriert ist.
Folgen Sie der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten, um Clusternutzern die Verwendung von AWS IAM zu ermöglichen.
Auf Cluster zugreifen
Nachdem GKE Identity Service für einen Cluster eingerichtet wurde, können sich Nutzer über die Befehlszeile oder die Google Cloud Console bei Clustern anmelden.
Informationen zum Anmelden bei registrierten Clustern mit Ihrer AWS-IAM-Identität finden Sie unter Mit GKE Identity Service auf Cluster zugreifen.