Google Distributed Cloud は、GKE Identity Service を使用してクラスタの Kubernetes API サーバーとやり取りする認証メカニズムとして、OpenID Connect(OIDC)と Lightweight Directory Access Protocol(LDAP)をサポートしています。GKE Identity Service は、認証を目的とする既存の ID ソリューションを複数の GKE Enterprise 環境で利用できるようにする認証サービスです。ユーザーは、既存の ID プロバイダを使用してコマンドライン(すべてのプロバイダ)または Google Cloud コンソール(OIDC のみ)からログインし、GKE クラスタを使用できます。
GKE Identity Service では、オンプレミスと公開アクセス可能な ID プロバイダの両方を使用できます。たとえば、企業で Active Directory フェデレーション サービス(ADFS)サーバーが実行されている場合、ADFS サーバーは OpenID プロバイダとして機能します。Okta など、一般公開されている ID プロバイダ サービスを使用することもできます。ID プロバイダの証明書は有名なパブリック認証局(CA)またはプライベート CA によって発行されます。
GKE Identity Service の仕組みの概要については、GKE Identity Service の概要をご覧ください。
OIDC または LDAP プロバイダではなく Google ID をすでに使用しているか、使用して GKE クラスタにログインする必要がある場合は、認証に Connect ゲートウェイを使用することをおすすめします。詳細については、Connect Gateway を使用した登録済みクラスタへの接続をご覧ください。
設定手順とオプション
OIDC
GKE Identity Service のプロバイダの構成の手順に沿って、GKE Identity Service をクライアントとして OIDC プロバイダに登録します。
次のクラスタ構成オプションから選択します。
- フリートレベルの GKE Identity Service 用にクラスタを構成する(プレビュー版、Google Distributed Cloud バージョン 1.8 以降)の手順に沿って、フリートレベルでクラスタを構成します。このオプションを使用すると、認証構成が Google Cloud で一元管理されます。
- OIDC による GKE Identity Service 用のクラスタを構成するの手順に沿って、クラスタを個別に構成します。フリートレベルの設定はプレビュー機能です。以前のバージョンの Google Distributed Cloud を使用している場合、またはフリートレベルのライフサイクル管理でサポートされていない GKE Identity Service 機能が必要な場合は、本番環境ではこのオプションを使用できます。
GKE Identity Service のユーザー アクセスを設定するの手順に沿って、ロールベース アクセス制御(RBAC)を含むクラスタへのユーザー アクセスを設定します。
LDAP
- LDAP による GKE Identity Service の設定の手順に沿って操作します。
クラスタへのアクセス
GKE Identity Service が設定されると、ユーザーはコマンドラインまたは Google Cloud コンソールを使用して、構成済みのクラスタにログインできます。
- OIDC または LDAP ID を使用して登録済みクラスタにログインする方法については、GKE Identity Service を使用したクラスタへのアクセスをご覧ください。
- Google Cloud コンソールからクラスタにログインする方法については、Google Cloud コンソールからクラスタへのログインをご覧ください(OIDC の場合のみ)。