本页面介绍如何配置 GKE On-Prem 以使用 OpenID 提供方对用户集群进行身份验证。如需了解如何将 OIDC 与 AD FS 搭配使用,请参阅使用 OIDC 和 AD FS 进行身份验证。
如需大致了解 GKE On-Prem 身份验证流程,请参阅身份验证。
概览
GKE On-Prem 支持使用 OpenID Connect (OIDC) 作为与用户集群的 Kubernetes API 服务器进行交互的身份验证机制之一。借助 OIDC,您可以按照组织中创建、启用和停用员工帐号的标准过程来管理对 Kubernetes 集群的访问权限。
员工可以通过两种方式使用 OIDC 身份验证流程:
员工可以使用
kubectl
启动 OIDC 流程。为了实现此流程的自动化,GKE On-Prem 提供适用于 OIDC 的 Kubectl 插件,这是一个 kubectl 插件。员工可以使用 Google Cloud 控制台启动 OIDC 身份验证流程。
在本练习中,您将配置两个选项:kubectl
和 Google Cloud 控制台。
准备工作
本主题假定您熟悉 OAuth 2.0 和 OpenID Connect。本主题假定您熟悉 OpenID 范围和声明。
选择 OpenID 提供方
本部分面向管理员。
您可以选择使用任何 OpenID 提供方。如需查看经过认证的提供方列表,请参阅 OpenID 认证。
您可以使用 Active Directory Federated Services (AD FS) 作为 OpenID 提供方,并使用 Active Directory 的本地实例作为员工数据库。如需了解详情,请参阅使用 OIDC 和 AD FS 进行身份验证。
下载适用于 OIDC 的 Kubectl 插件
本部分面向希望使用适用于 OIDC 的 Kubectl 插件的管理员和员工。
下载插件并设置访问权限:
Linux
gsutil cp gs://gke-on-prem-release/oidc-plugin/v1.1alpha/linux_amd64/kubectl-oidc . chmod +x kubectl-oidc
Windows
gsutil cp gs://gke-on-prem-release/oidc-plugin/v1.1alpha/windows_amd64/kubectl-oidc .
macOS
gsutil cp gs://gke-on-prem-release/oidc-plugin/v1.1alpha/darwin_amd64/kubectl-oidc . chmod +x kubectl-oidc
安装插件
通过将可执行文件移到 PATH
上的任意位置来安装插件。可执行文件必须命名为 kubectl-oidc
。如需了解详情,请参阅安装 kubectl 插件。
为适用于 OIDC 的 Kubectl 插件创建重定向网址
本部分面向管理员。
作为与您的 OpenID 提供方建立关系的一部分,您必须指定提供方可用于向适用于 OIDC 的 Kubectl 插件返回 ID 令牌的重定向网址。适用于 OIDC 的 Kubectl 插件在每位员工的本地机器上运行,并侦听您选择的端口。选择适合此用途且大于 1024 的端口号。然后,重定向网址为:
http://localhost:[PORT]/callback
其中,[PORT] 是您的端口号。
配置 OpenID 提供商时,请指定 http://localhost:[PORT]/callback 作为您的重定向网址之一。具体操作方法取决于您的提供商。
为 Google Cloud 控制台配置重定向网址
本部分面向管理员。
除了具有 kubectl 的重定向网址之外,您还需要 Google Cloud 控制台的重定向网址。Google Cloud 控制台的重定向网址为:
https://console.cloud.google.com/kubernetes/oidc
配置 OIDC 提供商时,请指定 https://console.cloud.google.com/kubernetes/oidc 作为您的重定向网址之一。具体操作方法取决于您的提供商。
向 OpenID 提供方注册您的客户端应用
本部分面向管理员。
您需要先向 OpenID 提供商注册这两个客户端,您的员工才能将适用于 OIDC 的 Kubectl 插件或 Google Cloud 控制台与您的 OpenID 提供商搭配使用。注册包括以下步骤:
了解提供商的颁发者 URI。这是适用于 OIDC 的 Kubectl 插件或 Google Cloud 控制台发送身份验证请求的位置。
为提供商提供适用于 OIDC 的 Kubectl 插件的重定向网址。
为提供方提供 Google Cloud 控制台的重定向网址。网址为 https://console.cloud.google.com/kubernetes/oidc。
确定单个客户端 ID。这是提供商用于标识适用于 OIDC 的 Kubectl 插件和 Google Cloud 控制台的 ID。
确定单个客户端密钥。适用于 OIDC 的 Kubectl 插件和 Google Cloud 控制台都使用此密钥向 OpenID 提供商进行身份验证。
确定自定义范围,供适用于 OIDC 的 Kubectl 插件或 Google Cloud 控制台用来请求用户的安全组。
建立自定义声明名称,供提供商用来返回用户的安全组。
如何执行这些步骤取决于您的 OpenID 提供方。如需了解如何使用 AD FS 执行注册步骤,请参阅使用 OIDC 和 AD FS 进行身份验证。
在 GKE On-Prem 配置文件中填充 oidc
规范
本部分面向想要创建配置为使用 OIDC 的集群的员工。
在创建用户集群之前,可使用 gkectl create-config
生成 GKE On-Prem 配置文件。配置包括以下 oidc
规范。使用提供方特定的值来填充 oidc
:
oidc: issuerurl: clientid: clientsecret: username: usernameprefix: group: groupprefix: scopes: extraparams: usehttpproxy: capath:
issuerurl
:必填。您的 OpenID 提供商的网址,例如https://example.com/adfs
。客户端应用(如适用于 OIDC 的 Kubectl 插件和 Google Cloud 控制台)会向此网址发送授权请求。Kubernetes API 服务器使用此网址来发现用于验证令牌的公钥。必须使用 HTTPS。clientid
:必填。向 OpenID 提供商发出身份验证请求的客户端应用的 ID。适用于 OIDC 的 Kubectl 插件和 Google Cloud 控制台都使用此 ID。clientsecret
:可选。客户端应用的密钥。适用于 OIDC 的 Kubectl 插件和 Google Cloud 控制台均使用此密钥。username
:可选。用作用户名的 JWT 声明。默认值为sub
,该值应为最终用户的唯一标识符。您可以选择其他声明,例如email
或name
,具体取决于 OpenID 提供方。不过,email
以外的声明会以颁发者网址作为前缀,以防止命名与其他插件冲突。usernameprefix
:可选。附加到用户名声明前面的前缀,以防止与现有名称冲突。如果您未提供此字段,并且username
是email
以外的值,则前缀默认为issuerurl#
。您可以使用值-
停用所有前缀。group
:可选。提供方将用于返回安全群组的 JWT 声明。groupprefix
:可选。附加到群组声明前面的前缀,以防止与现有名称冲突。例如,给定一个组foobar
和一个前缀gid-
,则格式为gid-foobar
。scopes
:可选。以英文逗号分隔列表的形式发送给 OpenID 提供方的额外范围。extraparams
:可选。以英文逗号分隔列表的形式发送到 OpenID 提供方的额外键值对参数。- 如需查看身份验证参数的列表,请参阅身份验证 URI 参数。
- 如需查看 Microsoft Azure 身份验证参数的列表,请参阅发送登录请求。
- 如果您要向群组授权,请传入
resource=token-groups-claim
。 - 如果您的授权服务器提示是否同意,请传入
prompt=consent
。
usehttpproxy
:可选。指定是否在集群中部署反向代理,以允许 Connect Agent 访问本地 OIDC 提供方来验证用户身份。值必须是字符串:"true"
或"false"
。capath
:可选。证书授权机构 (CA)(负责颁发身份提供方 Web 证书)颁发的证书路径。此值可能不是必需的。例如,如果您的身份提供方证书是由知名公共 CA 颁发的,那么您无需在此提供值。
示例:向用户和群组授权
许多提供方在令牌中对用户标识属性(例如电子邮件和用户 ID)进行编码。但是,对于身份验证政策来说,这些属性具有潜在的风险:
- 用户 ID 可能会导致政策难以阅读和审核。
- 电子邮件可能会产生可用性风险(如果用户更改其主电子邮件),也可能产生安全风险(如果可以重新分配电子邮件)。
因此,最佳做法是使用群组政策,因为群组 ID 是永久性 ID 且更易于审核。
假设您的提供方创建了包含以下字段的身份令牌:
{ 'iss': 'https://server.example.com' 'sub': 'u98523-4509823' 'groupList: ['developers@example.corp', 'us-east1-cluster-admins@example.corp'] ... }
oidc
规范:
issueruri: 'https://server.example.com' username: 'sub' usernameprefix: 'uid-' group: 'groupList' groupprefix: 'gid-' extraparams: 'resource=token-groups-claim' ...
创建用户集群后,您可以使用 Kubernetes 基于角色的访问权限控制 (RBAC) 向经过身份验证的用户授予具有特权的访问权限。例如,您可以创建一个 ClusterRole,向其用户授予对集群 Secret 的只读权限,并创建一个 ClusterRoleBinding 资源,以将角色绑定到经过身份验证的群组:
ClusterRole
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: secret-reader rules: - apiGroups: [""] # The resource type for which access is granted resources: ["secrets"] # The permissions granted by the ClusterRole verbs: ["get", "watch", "list"]
ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: read-secrets-admins subjects: # Allows anyone in the "us-east1-cluster-admins" group to # read Secrets in any namespace within this cluster. - kind: Group name: gid-us-east1-cluster-admins # Name is case sensitive apiGroup: rbac.authorization.k8s.io # Allows this specific user to read Secrets in any # namespace within this cluster - kind: User name: uid-u98523-4509823 apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: secret-reader apiGroup: rbac.authorization.k8s.io
保存 Kubernetes API 服务器的 CA 证书
本部分面向已创建用户集群并且现在想要使用适用于 OIDC 的 Kubectl 插件的员工。
您的用户集群具有 Kubernetes API 服务器。您的用户集群的 kubeconfig 文件存储将证书颁发给 Kubernetes API 服务器的 CA 的证书。CA 的证书是 certificate-authority-data
字段的 base-64 编码值。您需要解码此值并将其存储在本地文件(例如 server-ca-cert
)中:
cat [USER_CLUSTER_KUBECONFIG] | grep certificate-authority-data | awk '{ print $2}' | base64 --decode > server-ca-cert
生成客户端身份验证配置文件
本部分面向已创建用户集群并且现在想要使用适用于 OIDC 的 Kubectl 插件的员工。
如需生成客户端身份验证配置文件,请输入以下命令:Linux
kubectl oidc client-config \ --issuer-uri [ISSUER_URI] \ --redirect-uri [REDIRECT_URL] \ --client-id [CLIENT_ID] \ --client-secret [CLIENT_SECRET] \ --scopes "[CUSTOM_SCOPES]" \ --cluster-name [USER_CLUSTER_NAME] \ --server [CLUSTER_URL] \ --server-ca-file [SERVER_CA_CERT] \ --issuer-ca-file [PROVIDER_CA_CERT] \ --extra-params [KEY]=[VALUE], ... # e.g. --extra-params "resource=token-groups-claim" > client-config.yaml
其中:
- [ISSUER_URI] 是您的颁发者 URI。
- [REDIRECT_URL] 是适用于 OIDC 的 Kubectl 插件的重定向网址
- [CLIENT_ID] 是适用于 OIDC 的 Kubectl 插件的客户端 ID。
- [CLIENT_SECRET] 是适用于 OIDC 的 Kubectl 插件的客户端密钥。
- [USER_CLUSTER_NAME] 是您的用户集群的名称。
- [CLUSTER_URL] 是用户集群的 Kubernetes API 服务器的网址。
- [SERVER_CA_FILE] 是向 Kubernetes API 服务器颁发证书的 CA 的证书路径。这是您在上一部分中创建的证书文件。
- [PROVIDER_CA_CERT] 是对 OpenID 提供方的证书进行签名的 CA 的证书路径。这与集群配置文件中
oidc:cacert
的值相同。 - [CUSTOM_SCOPES] 是以英文逗号分隔的安全组的自定义范围列表。这与集群配置文件中
oidc:scopes
的值相同。 --extra-params [KEY]=[VALUE], ...
是要包含在向 OpenID 提供方发出的授权请求中的以英文逗号分隔的键值对列表。- 如需查看身份验证参数的列表,请参阅身份验证 URI 参数。
- 如果您要向群组授权,请传入
resource=token-groups-claim
。 - 如果您的授权服务器提示是否同意,请传入
prompt=consent
。
PowerShell
kubectl oidc client-config ` --issuer-uri [ISSUER_URI] ` --redirect-uri [REDIRECT_URL] ` --client-id [CLIENT_ID] ` --client-secret [CLIENT_SECRET] ` --scopes "[CUSTOM_SCOPES]" ` --cluster-name [USER_CLUSTER_NAME] ` --server [CLUSTER_URL] ` --server-ca-file [SERVER_CA_CERT] ` --issuer-ca-file [PROVIDER_CA_CERT] ` --extra-params [KEY]=[VALUE] > client-config.yaml
其中:
- [ISSUER_URI] 是您的颁发者 URI。
- [REDIRECT_URL] 是适用于 OIDC 的 Kubectl 插件的重定向网址
- [CLIENT_ID] 是适用于 OIDC 的 Kubectl 插件的客户端 ID。
- [CLIENT_SECRET] 是适用于 OIDC 的 Kubectl 插件的客户端密钥。
- [USER_CLUSTER_NAME] 是您的用户集群的名称。
- [CLUSTER_URL] 是用户集群的 Kubernetes API 服务器的网址。
- [SERVER_CA_FILE] 是向 Kubernetes API 服务器颁发证书的 CA 的证书路径。这是您在上一部分中创建的证书文件。
- [PROVIDER_CA_CERT] 是对 OpenID 提供方的证书进行签名的 CA 的证书路径。这与集群配置文件中
oidc:cacert
的值相同。 - [CUSTOM_SCOPES] 是以英文逗号分隔的安全组的自定义范围列表。这与集群配置文件中
oidc:scopes
的值相同。 --extra-params [KEY]=[VALUE], ...
是要包含在向 OpenID 提供方发出的授权请求中的以英文逗号分隔的键值对列表。- 如需查看 Google 身份验证参数的列表,请参阅身份验证 URI 参数。
- 如需查看 Microsoft Azure 身份验证参数的列表,请参阅发送登录请求。
- 如果您要向群组授权,请传入
resource=token-groups-claim
。 - 如果您的授权服务器提示是否同意,请传入
prompt=consent
。
此命令会生成名为 client-config.yaml
的客户端身份验证配置文件。请勿手动修改此文件。
使用适用于 OIDC 的 Kubectl 插件向用户集群进行身份验证
本部分面向已创建用户集群并且现在想要使用适用于 OIDC 的 Kubectl 插件的员工。
-
使用
client-config.yaml
文件初始化插件:kubectl oidc login --clientconfig-file=client-config.yaml --user [NAME] \ --kubeconfig [KUBECONFIG_OUTPUT_PATH]
其中:
- [NAME] 是您的用户名。
- [KUBECONFIG_OUTPUT_PATH] 是适用于 OIDC 的 Kubectl 插件将在其中存储凭据的 kubeconfig 文件的路径。
kubectl oidc login
会启动浏览器,您可以在其中输入凭据。现在提供的 kubeconfig 文件包含一个 ID 令牌,kubectl 可使用该令牌向用户集群上的 Kubernetes API 服务器进行身份验证。
注意:Windows 用户可能必须以
kubectl-oidc.exe
login(而非kubectl oidc login
)的形式运行该命令。 -
通过运行任何
kubectl
命令来验证身份验证是否成功。例如:kubectl get nodes --kubeconfig [KUBECONFIG_OUTPUT_PATH]
将 OIDC 与 Google Cloud Console 搭配使用
本部分面向已创建用户集群并且现在想要使用 Google Cloud Console 向该集群进行身份验证的员工。
-
验证您的集群是否已针对 OIDC 进行了配置。
-
验证您的集群是否已向 Google Cloud 注册(无论是在创建集群过程中自动注册还是手动注册)。
-
访问 Google Cloud 控制台中的 Kubernetes 集群页面。
-
在集群列表中,找到您的 GKE On-Prem 集群,然后点击登录。
-
选择使用为集群配置的身份提供商服务执行身份验证,然后点击登录。
系统会将您重定向到您的身份提供商,您可能需要登录或同意 Google Cloud 控制台访问您的帐号。然后,系统会将您重定向回 Google Cloud 控制台中的 Kubernetes 集群页面。
排查 GKE On-Prem 中的 OIDC 问题
配置无效
如果 Google Cloud 控制台无法从集群中读取 OIDC 配置,则登录按钮将被停用。
提供商配置无效
如果您的身份提供方配置无效,点击登录后,身份提供方将显示错误屏幕。按照特定于提供方的说明正确配置提供方或您的集群。
权限无效
如果您完成了身份验证流程,但仍看不到集群的详细信息,请确保您已向与 OIDC 搭配使用的帐号授予了正确的 RBAC 权限。请注意,此帐号可能与您用于访问 Google Cloud 控制台的帐号不同。
Error: missing 'RefreshToken' field in 'OAuth2Token' in credentials struct
如果授权服务器提示是否同意,但您未提供所需的身份验证参数,则可能会遇到此错误。向 GKE On-Prem 配置文件的 oidc: extraparams
字段提供 prompt=consent
参数,并使用 --extra-params prompt=consent
标志重新生成客户端身份验证文件。