Memperkenalkan GKE Identity Service
GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda memindahkan solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan GKE Enterprise. Pengguna dapat login dan menggunakan cluster GKE Anda dari command line atau dari Konsol Google Cloud, semuanya menggunakan penyedia identitas Anda yang sudah ada.
Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE sebagai ganti penyedia OIDC atau LDAP, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.
Penyedia identitas yang didukung
GKE Identity Service mendukung penyedia identitas menggunakan protokol berikut:
- OpenID Connect (OIDC). Kami memberikan petunjuk khusus penyiapan bagi beberapa penyedia OpenID populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia mana pun yang menerapkan OIDC.
- Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
- Security Assertion Markup Language (SAML). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan SAML.
Jenis cluster yang didukung
Protocol | GKE on VMware | GKE on Bare Metal | GKE on AWS | GKE on Azure | Cluster EKS terlampir | GKE |
---|---|---|---|---|---|---|
OIDC | ||||||
LDAP | ||||||
SAML |
Jenis cluster lain yang terpasang tidak didukung untuk digunakan dengan GKE Identity Service.
Cara kerjanya
GKE Identity Service memungkinkan pengguna login ke cluster yang dikonfigurasi menggunakan nama pengguna dan sandi organisasi yang biasa mereka gunakan. Cara kerjanya bergantung pada jenis penyedia identitas yang digunakan.
OIDC
Dengan penyedia OIDC, GKE Identity Service terdaftar sebagai aplikasi klien untuk penyedia identitas, lalu disiapkan untuk setiap cluster oleh administrator cluster.
Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login
terlebih dahulu dan memasukkan detail login untuk penyedia identitas. Tindakan ini akan mengambil token identitas dari penyedia. Token tersebut ditambahkan ke file kubeconfig
miliknya dan digunakan saat membuat permintaan dengan kubectl
ke cluster. Server Kubernetes API kemudian menggunakan GKE Identity Service untuk memvalidasi token ID dan mengizinkan (atau menolak) akses ke cluster. GKE Identity Service juga dapat mengambil informasi keanggotaan grup keamanan secara opsional dari penyedia identitas.
Administrator cluster dapat menambahkan kontrol akses yang lebih terperinci menggunakan role-based access control (RBAC) Kubernetes jika diperlukan.
Pengguna juga dapat login dengan OIDC dari Konsol Google Cloud. Dalam hal ini, mereka akan diarahkan ke UI penyedia identitas untuk memberikan detail login sebelum dikembalikan ke konsol Google Cloud agar dapat terus melihat dan mengelola resource cluster.
LDAP
Dengan penyedia LDAP, GKE Identity Service disiapkan untuk setiap cluster oleh administrator cluster, termasuk memberikan kredensial klien LDAP untuk GKE Identity Service.
Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login
terlebih dahulu dan memasukkan detail login untuk penyedia identitas. Permintaan ini dikirimkan ke GKE Identity Service, yang membuat kueri ke server LDAP dan menampilkan atribut pengguna dalam token berumur pendek (STS), yang memastikan bahwa kredensial LDAP pengguna tidak perlu disimpan secara lokal dalam teks biasa. Token tersebut ditambahkan ke file kubeconfig
miliknya dan digunakan saat membuat permintaan dengan kubectl
ke cluster. Server Kubernetes API kemudian menggunakan GKE Identity Service untuk memperoleh informasi pengguna dan grup dari token serta mengizinkan (atau menolak) akses ke cluster. Secara default, token berlangsung selama satu jam sebelum pengguna harus login lagi.
Administrator cluster dapat menambahkan kontrol akses yang lebih terperinci menggunakan role-based access control (RBAC) Kubernetes jika diperlukan.
Opsi penyiapan
Bergantung pada jenis dan lingkungan cluster, administrator cluster dapat menyiapkan GKE Identity Service di setiap cluster satu per satu, atau di level fleet project.
Penyiapan per cluster
Anda dapat menyiapkan GKE Identity Service di cluster berdasarkan cluster untuk cluster GKE lokal (baik VMware maupun bare metal), di AWS, dan di Azure. Lihat panduan berikut untuk mengetahui detailnya:
Penyiapan OIDC
- Mengonfigurasi penyedia OIDC untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan OIDC
- Menyiapkan akses pengguna untuk GKE Identity Service
Penyiapan LDAP
- Mengonfigurasi penyedia LDAP untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan LDAP
- Menyiapkan akses pengguna untuk GKE Identity Service
Penyiapan SAML
- Mengonfigurasi penyedia SAML untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan SAML
- Menyiapkan akses pengguna untuk GKE Identity Service melalui proses autentikasi alternatif
Penyiapan level fleet
Fleet di Google Cloud adalah grup cluster logis yang memungkinkan Anda mengaktifkan fungsionalitas dan memperbarui konfigurasi di seluruh cluster tersebut. Untuk jenis cluster yang didukung, Anda dapat menyiapkan GKE Identity Service untuk cluster di fleet project Anda. Dengan penyiapan level fleet, Anda dapat menerapkan konfigurasi autentikasi secara terpusat ke beberapa cluster, tempat konfigurasinya dikelola oleh Google Cloud.
Jenis cluster berikut didukung untuk penyiapan tingkat fleet:
- GKE di VMware, versi 1.8.2 atau yang lebih tinggi
- GKE di Bare Metal, versi 1.8.3 atau yang lebih baru
- GKE di Azure
- GKE di AWS yang menjalankan Kubernetes 1.21 atau yang lebih tinggi
- Cluster GKE di Google Cloud dengan Layanan Identitas untuk GKE yang diaktifkan
Jenis dan lingkungan cluster berikut didukung untuk penyiapan tingkat fleet sebagai fitur Pra-GA:
- Amazon Elastic Kubernetes Service (Amazon EKS) cluster terpasang
Lihat hal berikut untuk detail penyiapan:
Apa langkah selanjutnya?
- Jika Anda adalah administrator platform atau administrator cluster dan ingin mengonfigurasi cluster untuk menggunakan GKE Identity Service, ikuti panduan penyiapan yang sesuai di atas.
- Jika Anda adalah developer atau pengguna cluster lain dan ingin mengakses cluster GKE menggunakan identitas yang sudah ada, lihat Mengakses cluster menggunakan GKE Identity Service.