使用 Anthos Identity Service 管理身份

10

Anthos Clusters on VMware 支持通过 Anthos Identity Service 使用 OpenID Connect (OIDC)轻量级目录访问协议 (LDAP) 作为与集群的 Kubernetes API 服务器进行交互的身份验证机制。Anthos Identity Service 是一项身份验证服务,可让您使用现有身份解决方案在多个 Anthos 环境中进行身份验证。用户可以使用现有的身份提供方,通过命令行(所有提供方)或 Google Cloud 控制台(仅限 OIDC)登录和使用 Anthos 集群。

您可以将本地和可公开访问的身份提供商与 Anthos Identity Service 搭配使用。例如,如果您的企业运行 Active Directory 联合身份验证服务 (ADFS) 服务器,则 ADFS 服务器可以充当您的 OpenID 提供方。您还可以使用 Okta 等可公开访问的身份提供方服务。身份提供方证书可以由知名公共证书授权机构 (CA) 或私有 CA 颁发。

如需简要了解 Anthos Identity Service 的工作原理,请参阅 Anthos Identity Service 简介

如果您已在使用或想要使用 Google ID(而不是 OIDC 或 LDAP 提供方)登录 Anthos 集群,我们建议您使用 Connect 网关进行身份验证。如需了解详情,请参阅使用 Connect 网关连接到已注册的集群

设置过程和选项

OIDC

  1. 按照为 Anthos Identity Service 配置提供方中的说明,向您的 OIDC 提供方将 Anthos Identity Service 注册为客户端。

  2. 选择以下集群配置选项之一:

    • 按照为舰队级 Anthos Identity Service 配置集群(预览版,Anthos clusters on VMware 1.8 及更高版本)中的说明在舰队级层配置集群。如果使用此选项,您的身份验证配置由 Google Cloud 集中管理。
    • 按照使用 OIDC 为 Anthos Identity Service 配置集群中的说明单独配置集群。由于舰队级设置是预览版功能,因此如果您使用的是较早版本的 Anthos clusters on VMware 或者需要舰队级生命周期管理尚不支持的 Anthos Identity Service 功能,则可能需要在生产环境中使用此选项。
  3. 按照为 Anthos Identity Service 设置用户访问权限中的说明,设置用户对集群的访问权限,包括基于角色的访问权限控制 (RBAC)。

LDAP

访问集群

设置 Anthos Identity Service 后,用户可以使用命令行或 Google Cloud 控制台登录已配置的集群。