GKE on VMware unterstützt OpenID Connect (OIDC) und Lightweight Directory Access Protocol (LDAP) als Authentifizierungsmechanismen für die Interaktion mit dem Kubernetes API-Server eines Clusters mithilfe von GKE Identity Service. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren GKE Enterprise-Umgebungen verwenden können. Nutzer können sich über die Befehlszeile (alle Anbieter) oder über die Google Cloud Console (nur OIDC) bei Ihren GKE-Clustern anmelden und diese verwenden – und all das über Ihren vorhandenen Identitätsanbieter.
Sie können mit GKE Identity Service sowohl lokale als auch öffentlich erreichbare Identitätsanbieter verwenden. Wenn Ihr Unternehmen z. B. einen ADFS-Server (Active Directory Federation Services) ausführt, kann dieser als Ihr OpenID-Anbieter dienen. Sie können auch öffentlich erreichbare Identitätsanbieterdienste wie Okta verwenden. Identitätsanbieterzertifikate können von einer bekannten öffentlichen Zertifizierungsstelle (Certificate Authority, CA) oder von einer privaten Zertifizierungsstelle ausgestellt werden.
Eine Übersicht über die Funktionsweise des GKE Identity Service finden Sie unter Einführung in den GKE Identity Service.
Wenn Sie bereits Google-IDs anstelle eines OIDC- oder LDAP-Anbieters verwenden oder nutzen möchten, um sich bei Ihren GKE-Clustern anzumelden, empfehlen wir die Verwendung des Connect-Gateways zur Authentifizierung. Weitere Informationen finden Sie unter Verbindung zu registrierten Clustern mit dem Connect-Gateway herstellen.
Einrichtungsprozess und -optionen
OIDC
Registrieren Sie den GKE Identity Service als Client bei Ihrem OIDC-Anbieter. Folgen Sie dazu der Anleitung unter Anbieter für GKE Identity Service konfigurieren.
Wählen Sie eine der folgenden Clusterkonfigurationsoptionen aus:
- Konfigurieren Sie die Cluster auf Flottenebene. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service auf Flottenebene konfigurieren (Vorabversion, Version 1.8 und höher von GKE on VMware). Bei dieser Option wird Ihre Authentifizierungskonfiguration zentral von Google Cloud verwaltet.
- Konfigurieren Sie Ihre Cluster einzeln. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service mit OIDC konfigurieren. Da die Einrichtung auf Flottenebene ein Vorschaufeature ist, sollten Sie diese Option in Produktionsumgebungen verwenden, wenn Sie eine frühere Version von GKE on VMware verwenden oder wenn Sie GKE Identity Service-Features benötigen, die von der Lebenszyklusverwaltung auf Flottenebene noch nicht unterstützt werden.
Richten Sie den Nutzerzugriff auf Ihre Cluster ein, einschließlich rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC). Folgen Sie dazu der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten.
LDAP
- Folgen Sie der Anleitung unter GKE Identity Service mit LDAP einrichten.
Auf Cluster zugreifen
Nachdem GKE Identity Service eingerichtet wurde, können sich Nutzer über die Befehlszeile oder die Google Cloud Console in konfigurierten Clustern anmelden.
- Informationen zum Anmelden bei registrierten Clustern mit Ihrer OIDC- oder LDAP-ID finden Sie unter Mit GKE Identity Service auf Cluster zugreifen.
- Informationen zur Anmeldung bei Clustern über die Google Cloud Console finden Sie unter Über die Google Cloud Console bei einem Cluster anmelden (nur OIDC).