I cluster Anthos su VMware supportano OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per interagire con un server API Kubernetes di un cluster, utilizzando Anthos Identity Service. Anthos Identity Service è un servizio di autenticazione che ti consente di utilizzare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti Anthos. Gli utenti possono accedere ai tuoi cluster Anthos dalla riga di comando (tutti i provider) o da Google Cloud Console (solo OIDC), utilizzando il tuo provider di identità esistente.
Con Anthos Identity Service puoi utilizzare provider di identità sia on-premise che raggiungibili pubblicamente. Ad esempio, se la tua azienda esegue un server Active Directory Federation Services (ADFS), il server ADFS potrebbe essere il tuo provider OpenID. Puoi anche utilizzare servizi di provider di identità raggiungibili pubblicamente, come Okta. I certificati del provider di identità possono essere emessi da un'autorità di certificazione pubblica (CA) nota o da una CA privata.
Per una panoramica del funzionamento di Anthos Identity Service, vedi Introduzione ad Anthos Identity Service.
Se utilizzi o vuoi utilizzare gli ID Google per accedere ai tuoi cluster Anthos anziché a un provider OIDC o LDAP, ti consigliamo di utilizzare il gateway Connect per l'autenticazione. Per saperne di più, vedi Connessione a cluster registrati con il gateway Connect.
Procedura di configurazione e opzioni
OIDC
Registra Anthos Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per Anthos Identity Service.
Scegli una delle seguenti opzioni di configurazione del cluster:
- Configura i tuoi cluster a livello di parco risorse seguendo le istruzioni riportate in Configurazione di cluster per Anthos Identity Service a livello di parco risorse (anteprima, cluster Anthos su VMware versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.
- Configura i cluster singolarmente seguendo le istruzioni in Configurare i cluster per Anthos Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità di anteprima, ti consigliamo di utilizzare questa opzione negli ambienti di produzione, se stai utilizzando una versione precedente dei cluster Anthos su VMware o di funzionalità di Anthos Identity Service che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.
Configura l'accesso utente ai tuoi cluster, incluso il controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso utente per Anthos Identity Service.
LDAP
- Segui le istruzioni riportate in Configurare Anthos Identity Service con LDAP.
Accesso ai cluster
Dopo aver configurato Anthos Identity Service, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la console Google Cloud.
- Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accesso ai cluster tramite Anthos Identity Service.
- Scopri come accedere ai cluster da Google Cloud Console in Accesso a un cluster da Google Cloud Console (solo OIDC).