O Google Distributed Cloud oferece suporte ao OpenID Connect (OIDC) e ao protocolo leve de acesso a diretórios (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster usando o serviço de identidade do GKE. O Serviço de identidade do GKE é um serviço de autenticação que permite levar suas soluções de identidade atuais para autenticação em vários ambientes do GKE Enterprise. Os usuários podem fazer login e usar os clusters do GKE pela linha de comando (todos os provedores) ou pelo Console do Google Cloud (somente OIDC), usando seu provedor de identidade atual.
É possível usar provedores de identidade locais e acessíveis publicamente com o GKE Identity Service. Por exemplo, se sua empresa executar um servidor de Serviços de Federação do Active Directory (ADFS, na sigla em inglês), esse servidor poderá servir como seu provedor OpenID. Você também pode usar serviços de provedor de identidade acessíveis publicamente, como o Okta. Os certificados de provedor de identidade podem ser emitidos por uma autoridade de certificação pública (CA, na sigla em inglês) conhecida ou por uma CA particular.
Para uma visão geral de como o Serviço de identidade do GKE funciona, confiraIntrodução ao GKE Identity Service.
Se você já usa ou quer usar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor OIDC ou LDAP, recomendamos o uso do gateway do Connect para autenticação. Saiba mais em Como se conectar a clusters registrados com o gateway do Connect.
Processo de configuração e opções
OIDC
Registre o Serviço de identidade do GKE como um cliente com o provedor OIDC seguindo as instruções em Como configurar provedores para o Serviço de identidade do GKE.
Escolha uma destas opções de configuração de cluster:
- Configure os clusters no nível da frota seguindo as instruções em Como configurar clusters para o serviço de identidade do GKE no nível da frota (pré-lançamento, versão 1.8 ou superior do Google Distributed Cloud). Com essa opção, sua configuração de autenticação é gerenciada centralmente pelo Google Cloud.
- Configure os clusters individualmente seguindo as instruções em Como configurar clusters para o Serviço de identidade do GKE com o OIDC. Como a configuração no nível da frota é um recurso em fase de pré-lançamento, use essa opção em ambientes de produção se você estiver usando uma versão anterior do Google Distributed Cloud ou se precisar de recursos do GKE Identity Service que ainda não são compatíveis com o gerenciamento de ciclo de vida no nível da frota.
Para configurar o acesso do usuário aos clusters, incluindo o controle de acesso baseado em papéis (RBAC, na sigla em inglês), siga as instruções em Como configurar o acesso do usuário ao Serviço de identidade do GKE.
LDAP
- Siga as instruções em Configurar o GKE Identity Service com o LDAP.
Acessar clusters
Após a configuração do GKE Identity Service, os usuários podem fazer login nos clusters configurados usando a linha de comando ou o Console do Google Cloud.
- Saiba como fazer login em clusters registrados com o OIDC ou ID LDAP em Como acessar clusters usando o GKE Identity Service.
- Saiba como fazer login em clusters no console do Google Cloud em Como fazer login em um cluster no Console do Google Cloud (somente OIDC).