Anthos clusters on VMware は、Anthos Identity Service を使用してクラスタの Kubernetes API サーバーとやり取りする認証メカニズムとして、OpenID Connect(OIDC)と Lightweight Directory Access Protocol(LDAP)をサポートしています。Anthos Identity Service は、認証を目的とする既存の ID ソリューションを複数の Anthos 環境で利用できるようにする認証サービスです。ユーザーは、既存の ID プロバイダを使用してコマンドライン(すべてのプロバイダ)または Google Cloud コンソール(OIDC のみ)からログインし、Anthos クラスタを使用できます。
Anthos Identity Service では、オンプレミスと公開アクセス可能な ID プロバイダの両方を使用できます。たとえば、企業で Active Directory フェデレーション サービス(ADFS)サーバーが実行されている場合、ADFS サーバーは OpenID プロバイダとして機能します。Okta など、一般公開されている ID プロバイダ サービスを使用することもできます。ID プロバイダの証明書は有名なパブリック認証局(CA)またはプライベート CA によって発行されます。
Anthos Identity Service の仕組みの概要については、Anthos Identity Service の紹介をご覧ください。
OIDC または LDAP プロバイダではなく Google ID をすでに使用しているか、使用して Anthos クラスタにログインする必要がある場合は、認証に Connect ゲートウェイを使用することをおすすめします。詳細については、Connect Gateway を使用した登録済みクラスタへの接続をご覧ください。
設定手順とオプション
OIDC
Anthos Identity Service のプロバイダの構成の手順に従って、Anthos Identity Service をクライアントとして OIDC プロバイダに登録します。
次のクラスタ構成オプションから選択します。
- フリートレベルの Anthos Identity Service 用にクラスタを構成する(プレビュー、VMware バージョン 1.8 以降の Anthos クラスタ)の手順に従って、フリートレベルでクラスタを構成します。このオプションを使用すると、認証構成は、Google Cloud が一元管理します。
- OIDC による Anthos Identity Service 用のクラスタを構成するの手順に従って、クラスタを個別に構成します。フリートレベルの設定はプレビュー機能であるため、以前のバージョンの Anthos clusters on VMware を使用している場合、またはフリートレベルのライフサイクル管理でサポートされていない Anthos Identity Service 機能が必要な場合は、本番環境ではこのオプションを使用することができます。
Anthos Identity Service のユーザー アクセスを設定するの手順に沿って、クラスタへのユーザー アクセス(ロールベースのアクセス制御(RBAC)を含む)を設定します。
LDAP
- LDAP による Anthos Identity Service の設定の手順に従います。
クラスタへのアクセス
Anthos Identity Service が設定されると、ユーザーはコマンドラインまたは Google Cloud コンソールを使用して、構成済みのクラスタにログインできます。
- Anthos Identity Service を使用したクラスタへのアクセスで、OIDC または LDAP の ID を使用して登録済みクラスタにログインする方法を学習する。
- Google Cloud コンソールからクラスタへのログインで、Google Cloud コンソールからクラスタにログインする方法を学習する(OIDC のみ)。