Google Distributed Cloud admite OpenID Connect (OIDC) y Lightweight Directory Access Protocol (LDAP) como mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster mediante el servicio de identidad de GKE. GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad para autenticarte en varios entornos de clústeres. Los usuarios pueden iniciar sesión en tus clústeres y usarlos desde la línea de comandos (todos los proveedores) o desde la consola de Google Cloud (solo OIDC), todo ello con tu proveedor de identidades.
Puedes usar proveedores de identidades locales y accesibles públicamente con GKE Identity Service. Por ejemplo, si tu empresa ejecuta un servidor de Servicios de federación de Active Directory (ADFS), este servidor podría actuar como proveedor de OpenID. También puede usar servicios de proveedores de identidades accesibles públicamente, como Okta. Los certificados de proveedor de identidades pueden emitirse por una autoridad de certificación (CA) pública conocida o por una CA privada.
Para obtener una descripción general de cómo funciona el servicio de identidad de GKE, consulta Presentación del servicio de identidad de GKE.
Si ya usas o quieres usar IDs de Google para iniciar sesión en tus clústeres de GKE en lugar de un proveedor de OIDC o LDAP, te recomendamos que uses la pasarela de Connect para la autenticación. Consulta más información en el artículo Conectarse a clústeres registrados con la pasarela Connect.
Proceso y opciones de configuración
OIDC
Registra GKE Identity Service como cliente con tu proveedor de OIDC siguiendo las instrucciones de Configurar proveedores para GKE Identity Service.
Elige una de las siguientes opciones de configuración de clúster:
- Configura tus clústeres a nivel de flota siguiendo las instrucciones que se indican en el artículo Configurar clústeres para el servicio de identidad de GKE a nivel de flota (versión preliminar, Google Distributed Cloud versión 1.8 y posteriores). Con esta opción, Google Cloudgestiona de forma centralizada tu configuración de autenticación.
- Configura tus clústeres individualmente siguiendo las instrucciones de Configurar clústeres en el GKE Identity Service con OIDC. Como la configuración a nivel de flota es una función de vista previa, puede que quieras usar esta opción en entornos de producción si usas una versión anterior de Google Distributed Cloud o si necesitas funciones de GKE Identity Service que aún no se admiten con la gestión del ciclo de vida a nivel de flota.
Configura el acceso de los usuarios a tus clústeres, incluido el control de acceso basado en roles (RBAC), siguiendo las instrucciones de Configurar el acceso de los usuarios a GKE Identity Service.
LDAP
- Sigue las instrucciones de Configurar GKE Identity Service con LDAP.
Acceder a clústeres
Una vez que se haya configurado el servicio de gestión de identidades de GKE, los usuarios podrán iniciar sesión en los clústeres configurados mediante la línea de comandos o la consola. Google Cloud
- Consulta cómo iniciar sesión en clústeres registrados con tu ID de OIDC o LDAP en Acceder a clústeres mediante el servicio de identidad de GKE.
- Consulta cómo iniciar sesión en clústeres desde la Google Cloud consola en Iniciar sesión en un clúster desde la Google Cloud consola (solo OIDC).
Solucionar problemas del flujo de inicio de sesión
Para solucionar problemas con flujos de inicio de sesión que se autentican directamente en el servidor de Identity Service para GKE con un nombre de dominio completo (FQDN), puedes usar la utilidad de diagnóstico de Identity Service para GKE. La utilidad de diagnóstico simula flujos de inicio de sesión con tu proveedor de OIDC para identificar rápidamente problemas de configuración. Esta herramienta requiere un clúster con la versión 1.32 o una posterior y solo admite OIDC. Para obtener más información, consulta la utilidad de diagnóstico de Identity Service para GKE.