Questa documentazione si riferisce alla versione più recente di GKE su Azure, rilasciata a novembre 2021. Consulta le Note di rilascio per ulteriori informazioni.

Panoramica dell'autenticazione

Questa pagina descrive come GKE su Azure gestisce l'autenticazione su Google Cloud e l'autenticazione degli utenti nei tuoi cluster.

Come GKE su Azure si connette ad Azure

L'API GKE Multi-Cloud esegue l'autenticazione in Azure con un oggetto AzureClient. Quando crei un client, Google genera una coppia di chiavi X.509. Carica la chiave pubblica in Azure Active Directory (Azure AD).

Per maggiori informazioni, consulta Creare un AzureClient.

Autenticazione

Autenticazione API GKE Multi-Cloud

L'API GKE Multi-Cloud consente di creare, aggiornare ed eliminare cluster e pool di nodi. Come per le altre API Google Cloud, puoi utilizzare questa API con REST, Google Cloud CLI o la console Google Cloud.

Per ulteriori informazioni, consulta la panoramica dell'autenticazione Google Cloud e la documentazione di riferimento dell'API GKE Multi-Cloud.

Autenticazione API Kubernetes

Puoi utilizzare lo strumento a riga di comando kubectl per eseguire operazioni sul cluster, ad esempio eseguire il deployment di un carico di lavoro e configurare un bilanciatore del carico. Lo strumento kubectl si connette all'API Kubernetes sul piano di controllo del cluster. Per chiamare questa API, devi eseguire l'autenticazione con le credenziali autorizzate.

Per ottenere le credenziali, puoi utilizzare uno dei seguenti metodi:

Google Identity, che consente agli utenti di accedere utilizzando Google Cloud Identity. Utilizza questa opzione se i tuoi utenti hanno già accesso a Google Cloud con un'identità Google.
GKE Identity Service, che consente agli utenti di accedere utilizzando OpenID Connect (OIDC).

GKE Identity Service consente di utilizzare provider di identità come Okta, Active Directory Federation Services (ADFS) o qualsiasi provider di identità conforme a OIDC.

Autorizzazione

GKE su Azure prevede due metodi per controllo dell'accesso'accesso: l'API GKE Multi-Cloud e il controllo controllo dell'accesso basato su ruoli (RBAC). Questa sezione descrive le differenze tra questi metodi.

È preferibile adottare un approccio a più livelli per la protezione dei cluster e dei carichi di lavoro. Puoi applicare il principio del privilegio minimo al livello di accesso che fornisci a utenti e carichi di lavoro. Potresti dover scendere a compromessi per garantire il giusto livello di flessibilità e sicurezza.

Controllo dell'accesso all'API GKE Multi-Cloud

L'API GKE Multi-Cloud consente agli amministratori di cluster di creare, aggiornare ed eliminare cluster e pool di nodi. Puoi gestire le autorizzazioni per l'API con Identity and Access Management (IAM). Per utilizzare l'API, gli utenti devono disporre delle autorizzazioni appropriate. Per le autorizzazioni necessarie per ogni operazione, consulta Ruoli e autorizzazioni dell'API. IAM consente di definire i ruoli e di assegnarli alle entità. Un ruolo è una raccolta di autorizzazioni e, se assegnato a un'entità, controlla l'accesso a una o più risorse Google Cloud.

Quando crei un cluster o un pool di nodi in un'organizzazione, una cartella o un progetto, gli utenti con le autorizzazioni appropriate in questa organizzazione, cartella o progetto possono modificarlo. Ad esempio, se concedi a un utente un'autorizzazione di eliminazione del cluster a livello di progetto Google Cloud, questo utente può eliminare qualsiasi cluster nel progetto. Per ulteriori informazioni, consulta Gerarchia delle risorse di Google Cloud e Creazione di criteri IAM.

Controllo dell'accesso'API Kubernetes

L'API Kubernetes consente di gestire gli oggetti Kubernetes. Per gestire il controllo dell'accesso nell'API Kubernetes, puoi utilizzare il controllo dell'accesso basato sui ruoli (RBAC). Per maggiori informazioni, consulta Configurazione del controllo degli accessi basato sui ruoli nella documentazione di GKE.

Accesso come amministratore

Quando utilizzi gcloud CLI per creare un cluster, per impostazione predefinita l'API GKE Multi-Cloud aggiunge il tuo account utente come amministratore e crea criteri RBAC appropriati che ti concedono l'accesso amministrativo completo al cluster. Per configurare utenti diversi, passa il flag --admin-users quando crei o aggiorni un cluster. Quando utilizzi il flag --admin-users, devi includere tutti gli utenti che possono amministrare il cluster. L'interfaccia a riga di comando gcloud non include l'utente che crea il cluster.

Puoi anche aggiungere utenti amministratore utilizzando la console Google Cloud. Per ulteriori informazioni, consulta Aggiornare il cluster.

Per visualizzare la configurazione dell'accesso al cluster, esegui questo comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Oltre ai criteri RBAC per accedere al server API Kubernetes, se un utente amministratore non è un proprietario del progetto, devi concedere ruoli IAM specifici che consentano agli utenti amministratore di eseguire l'autenticazione utilizzando la loro identità Google. Per ulteriori informazioni su come connetterti al cluster, consulta Connettersi e autenticarsi nel cluster.

Passaggi successivi

Per configurare OIDC, consulta Gestire l'identità con GKE Identity Service.
Connettiti e autenticati al tuo cluster.