I cluster Anthos su VMware supportano OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per interagire con il server API di un cluster Kubernetes, utilizzando Anthos Identity Service. Anthos Identity Service è un servizio di autenticazione che ti consente di utilizzare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti Anthos. Gli utenti possono accedere ai tuoi cluster Anthos e utilizzarli dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), il tutto usando il tuo provider di identità esistente.
Puoi utilizzare provider di identità sia on-premise che raggiungibili pubblicamente con Anthos Identity Service. Ad esempio, se la tua azienda esegue un server ADFS (Active Directory Federation Services), il server ADFS potrebbe fungere da provider OpenID. Puoi anche utilizzare servizi di provider di identità raggiungibili pubblicamente come Okta. I certificati del provider di identità possono essere emessi da un'autorità di certificazione (CA) nota o da una CA privata.
Per una panoramica del funzionamento del servizio Anthos Identity, vedi Introduzione al servizio Anthos Identity.
Se già utilizzi o vuoi usare gli ID Google per accedere ai tuoi cluster Anthos anziché a un provider OIDC o LDAP, ti consigliamo di utilizzare il gateway Connect per l'autenticazione. Per saperne di più, vedi Connessione a cluster registrati con il gateway Connect.
Procedura di configurazione e opzioni
OIDC
Registra il servizio Anthos Identity come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per il servizio Anthos Identity.
Scegli una delle seguenti opzioni di configurazione del cluster:
- Configura i tuoi cluster a livello di parco risorse seguendo le istruzioni per configurare i cluster per Anthos Identity Service a livello di parco risorse (anteprima, Cluster Anthos su VMware versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione viene gestita centralmente da Google Cloud.
- Configura i cluster singolarmente seguendo le istruzioni in Configurazione dei cluster per Anthos Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità di anteprima, ti consigliamo di utilizzare questa opzione negli ambienti di produzione, se usi una versione precedente di Cluster Anthos su VMware o se hai bisogno di funzionalità del servizio Anthos Identity che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.
Configura l'accesso utente ai tuoi cluster, incluso il controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni in Configurare l'accesso utente per il servizio Anthos Identity.
LDAP
- Segui le istruzioni riportate in Configurare Anthos Identity Service con LDAP.
Accesso ai cluster
Una volta configurato Anthos Identity Service, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la console Google Cloud.
- Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accedere ai cluster utilizzando il servizio Anthos Identity.
- Scopri come accedere ai cluster dalla console Google Cloud in Accedere a un cluster dalla console Google Cloud (solo OIDC).