GKE on VMware は、GKE Identity Service を使用してクラスタの Kubernetes API サーバーとやり取りする認証メカニズムとして、OpenID Connect(OIDC)と Lightweight Directory Access Protocol(LDAP)をサポートしています。GKE Identity Service は、認証を目的とする既存の ID ソリューションを複数の GKE Enterprise 環境で利用できるようにする認証サービスです。ユーザーは、既存の ID プロバイダを使用してコマンドライン(すべてのプロバイダ)または Google Cloud コンソール(OIDC のみ)からログインし、GKE クラスタを使用できます。
GKE Identity Service では、オンプレミスと公開アクセス可能な ID プロバイダの両方を使用できます。たとえば、企業で Active Directory フェデレーション サービス(ADFS)サーバーが実行されている場合、ADFS サーバーは OpenID プロバイダとして機能します。Okta など、一般公開されている ID プロバイダ サービスを使用することもできます。ID プロバイダの証明書は有名なパブリック認証局(CA)またはプライベート CA によって発行されます。
GKE Identity Service の仕組みの概要については、GKE Identity Service の概要をご覧ください。
OIDC または LDAP プロバイダではなく Google ID をすでに使用しているか、使用して GKE クラスタにログインする必要がある場合は、認証に Connect ゲートウェイを使用することをおすすめします。詳細については、Connect Gateway を使用した登録済みクラスタへの接続をご覧ください。
設定手順とオプション
OIDC
GKE Identity Service のプロバイダの構成の手順に沿って、GKE Identity Service をクライアントとして OIDC プロバイダに登録します。
次のクラスタ構成オプションから選択します。
- フリートレベルの GKE Identity Service 用にクラスタを構成する(プレビュー、GKE on VMware バージョン 1.8 以降)の手順に沿って、フリートレベルでクラスタを構成します。このオプションを使用すると、認証構成は、Google Cloud が一元管理します。
- OIDC による GKE Identity Service 用のクラスタを構成するの手順に沿って、クラスタを個別に構成します。フリートレベルの設定はプレビュー機能であるため、以前のバージョンの GKE on VMware を使用している場合、またはフリートレベルのライフサイクル管理でサポートされていない GKE Identity Service 機能が必要な場合は、本番環境ではこのオプションを使用することができます。
GKE Identity Service のユーザー アクセスを設定するの手順に沿って、クラスタへのユーザー アクセス(ロールベース アクセス制御(RBAC)を含む)を設定します。
LDAP
- LDAP による GKE Identity Service の設定の手順を行います。
クラスタへのアクセス
GKE Identity Service が設定されると、ユーザーはコマンドラインまたは Google Cloud コンソールを使用して、構成済みのクラスタにログインできます。
- GKE Identity Service を使用したクラスタへのアクセスで、OIDC または LDAP の ID を使用して登録済みクラスタにログインする方法を学習する。
- Google Cloud コンソールからクラスタへのログインで、Google Cloud コンソールからクラスタにログインする方法を学習する(OIDC のみ)。