Anthos-Cluster auf VMware unterstützt OpenID Connect (OIDC) und Lightweight Directory Access Protocol (LDAP) als Authentifizierungsmechanismen für die Interaktion mit dem Kubernetes API-Server eines Clusters mithilfe von Anthos Identity Service. Anthos Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren Anthos-Umgebungen nutzen können. Nutzer können sich über die Befehlszeile (alle Anbieter) oder die Google Cloud Console (nur OIDC) unter Verwendung Ihres vorhandenen Identitätsanbieters bei Ihren Anthos-Clustern anmelden und diese verwenden.
Mit Anthos Identity Service können Sie sowohl lokale als auch öffentlich erreichbare Identitätsanbieter verwenden. Wenn Ihr Unternehmen z. B. einen ADFS-Server (Active Directory Federation Services) ausführt, kann dieser als Ihr OpenID-Anbieter dienen. Sie können auch öffentlich erreichbare Identitätsanbieterdienste wie Okta verwenden. Identitätsanbieterzertifikate können von einer bekannten öffentlichen Zertifizierungsstelle (Certificate Authority, CA) oder von einer privaten Zertifizierungsstelle ausgestellt werden.
Eine Übersicht über die Funktionsweise von Anthos Identity Service finden Sie unter Einführung in Anthos Identity Service.
Wenn Sie Google-IDs bereits zur Anmeldung in Ihren Anthos-Clustern anstelle eines OIDC- oder LDAP-Anbieters verwenden oder verwenden möchten, empfehlen wir die Verwendung des Connect-Gateways für die Authentifizierung. Weitere Informationen finden Sie unter Verbindung zu registrierten Clustern mit dem Connect-Gateway herstellen.
Einrichtungsprozess und -optionen
OIDC
Registrieren Sie Anthos Identity Service als Client bei Ihrem OIDC-Anbieter. Folgen Sie dazu der Anleitung unter Anbieter für Anthos Identity Service konfigurieren.
Wählen Sie eine der folgenden Clusterkonfigurationsoptionen aus:
- Konfigurieren Sie Ihre Cluster auf Flottenebene gemäß der Anleitung unter Cluster für Anthos Identity Service auf Flottenebene konfigurieren (Vorschau, Anthos-Cluster auf VMware-Version 1.8 und höher). Bei dieser Option wird Ihre Authentifizierungskonfiguration zentral von Google Cloud verwaltet.
- Konfigurieren Sie Ihre Cluster einzeln. Folgen Sie dazu der Anleitung unter Cluster für Anthos Identity Service mit OIDC konfigurieren. Da die Einrichtung auf Flottenebene eine Vorschaufunktion ist, sollten Sie diese Option in Produktionsumgebungen verwenden, wenn Sie eine ältere Version von Anthos-Cluster auf VMware verwenden oder Anthos Identity Service-Features benötigen, die noch nicht mit Flotten unterstützt werden. Verwaltung des Lebenszyklus auf Ebene.
Richten Sie den Nutzerzugriff auf Ihre Cluster einschließlich rollenbasierter Zugriffssteuerung ein. Folgen Sie dazu der Anleitung unter Nutzerzugriff für Anthos Identity Service einrichten.
LDAP
- Folgen Sie der Anleitung unter Anthos Identity Service mit LDAP einrichten.
Auf Cluster zugreifen
Nachdem Anthos Identity Service eingerichtet wurde, können sich Nutzer entweder über die Befehlszeile oder die Google Cloud Console bei konfigurierten Clustern anmelden.
- Wie Sie sich mit Ihrer OIDC- oder LDAP-ID bei registrierten Clustern anmelden, erfahren Sie unter Mit Anthos Identity Service auf Cluster zugreifen.
- Informationen zur Anmeldung bei Clustern über die Google Cloud Console finden Sie unter Über die Google Cloud Console bei einem Cluster anmelden (nur OIDC).