GKE on AWS 支持使用 OpenID Connect (OIDC) 和 AWS IAM 作为身份验证机制,以便使用 GKE Identity Service 与集群的 Kubernetes API 服务器进行交互。GKE Identity Service 是一项身份验证服务,可让您将现有的身份解决方案用于身份验证。用户可以通过命令行或 Google Cloud 控制台登录和使用您的 GKE 集群,全部使用您现有的身份提供方。
如需简要了解 GKE Identity Service 的工作原理,请参阅 GKE Identity Service 简介。
如果您已使用或想要使用 Google 身份来登录您的 GKE 集群,我们建议您使用 gcloud containers aws clusters get-credentials 命令进行身份验证。如需了解详情,请参阅连接到您的集群并进行身份验证。
OpenID Connect 身份验证
准备工作
如需使用 OIDC 身份验证,用户必须能够连接到集群的控制平面。请参阅连接到您的集群的控制平面。
如需通过 Google Cloud Console 进行身份验证,您必须向项目舰队注册要配置的每个集群。对于 GKE on AWS,系统会在您创建节点池后自动执行此操作。
如需允许用户通过 Google Cloud Console 进行身份验证,请确保要配置的所有集群均已向项目舰队注册。对于 GKE on AWS,系统会在您创建节点池后自动执行此操作。
设置过程和选项
按照为 GKE Identity Service 配置提供方中的说明,向您的 OIDC 提供方将 GKE Identity Service 注册为客户端。
选择以下集群配置选项之一:
按照为舰队级层 GKE Identity Service 配置集群中的说明在舰队级层配置集群。如果使用此选项,您的身份验证配置由 Google Cloud 集中管理。
按照使用 OIDC 为 GKE Identity Service 配置集群中的说明单独配置集群。
按照为 GKE Identity Service 设置用户访问权限中的说明,设置用户对集群的访问权限,包括基于角色的访问控制 (RBAC)。
访问集群
在集群上设置 GKE Identity Service 后,用户可以使用命令行或 Google Cloud 控制台登录集群。
- 如需了解如何使用 OIDC ID 登录已注册的集群,请参阅使用 GKE Identity Service 访问集群。
- 如需了解如何通过 Google Cloud 控制台登录集群,请参阅通过 Google Cloud 控制台登录集群。
AWS IAM 身份验证
GKE on AWS 上的 AWS IAM 支持使用 GKE Identity Service。
准备工作
如需使用 AWS IAM 身份验证,用户必须能够连接到集群的控制平面。请参阅连接到您的集群的控制平面。
设置过程和选项
如需将集群配置为允许使用 AWS IAM 对特定 AWS 区域进行身份验证,请执行以下操作:
修改集群上的
ClientConfig资源:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public将
KUBECONFIG_PATH替换为集群的 kubeconfig 文件的路径,例如$HOME/.kube/config。文本编辑器会加载集群的 ClientConfig 资源。如下所示添加
spec.authentication.aws对象。请勿修改已写入的任何默认数据。apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGION替换以下内容:
NAME:此身份验证方法的任意名称,例如“aws-iam”。AWS_REGION:在其中检索用户信息的 AWS 区域。该区域需要与用户的 AWS CLI 中配置的区域匹配。
如需让您的集群用户能够使用 AWS IAM,请按照为 GKE Identity Service 设置用户访问权限中的说明操作。
访问集群
在集群上设置 GKE Identity Service 后,用户可以使用命令行或 Google Cloud 控制台登录集群。
如需了解如何使用 AWS IAM 身份登录已注册的集群,请参阅使用 GKE Identity Service 访问集群。