GKE Identity Service로 ID 관리

Google Distributed Cloud는 GKE Identity Service를 사용하여 OpenID Connect(OIDC)경량 디렉터리 액세스 프로토콜(LDAP)을 클러스터의 Kubernetes API와 상호작용하기 위한 인증 메커니즘으로 지원합니다. GKE Identity Service는 인증을 위한 기존 ID 솔루션을 여러 GKE Enterprise 환경에 적용할 수 있게 해주는 인증 서비스입니다. 명령줄(모든 공급업체) 또는 Google Cloud 콘솔(OIDC만 해당)에서 모두 기존 ID 공급업체를 사용하여 GKE 클러스터에 로그인하고 이를 사용할 수 있습니다.

GKE Identity Service에 온프레미스 및 공개적으로 연결 가능한 ID 공급업체를 모두 사용할 수 있습니다. 예를 들어 기업에서 Active Directory Federation Services(ADFS) 서버를 실행하는 경우 ADFS 서버가 OpenID 제공업체 역할을 할 수 있습니다. Okta와 같은 공개적으로 연결 가능한 ID 공급업체 서비스를 사용할 수도 있습니다. ID 공급업체 인증서는 잘 알려진 공공 인증 기관(CA) 또는 민간 CA에서 발급받을 수 있습니다.

GKE Identity Service 작동 방식에 대한 개요는 GKE Identity Service 소개를 참조하세요.

OIDC 또는 LDAP 제공업체 대신 GKE 클러스터에 로그인하기 위해 Google ID를 이미 사용 중이거나 앞으로 사용하려는 경우에는 인증을 위해 Connect 게이트웨이를 사용하는 것이 좋습니다. 자세한 내용은 Connect 게이트웨이를 사용하여 등록된 클러스터에 연결을 참조하세요.

설정 프로세스 및 옵션

OIDC

  1. GKE Identity Service 제공업체 구성의 안내에 따라 OIDC 제공업체에 GKE Identity Service를 클라이언트로 등록합니다.

  2. 다음 클러스터 구성 옵션 중에서 선택합니다.

    • Fleet 수준 GKE Identity Service를 위한 클러스터 구성(미리보기, Google Distributed Cloud 버전 1.8 이상)의 안내에 따라 Fleet 수준에서 클러스터를 구성합니다. 이 옵션을 사용하면 인증 구성이 Google Cloud에서 중앙으로 관리됩니다.
    • OIDC로 GKE Identity Service를 위한 클러스터 구성의 안내에 따라 개별적으로 클러스터를 구성합니다. Fleet 수준 설정은 미리보기 기능이므로 이전 버전의 Google Distributed Cloud를 사용하거나 아직 Fleet 수준 수명 주기 관리로 지원되지 않는 GKE Identity Service 기능이 필요한 경우 프로덕션 환경에서 이 옵션을 사용하는 것이 좋습니다.
  3. GKE Identity Service를 위한 사용자 액세스 설정의 안내에 따라 역할 기반 액세스 제어(RBAC)를 포함하여 클러스터에 대해 사용자 액세스를 설정합니다.

LDAP

클러스터 액세스

GKE Identity Service가 설정된 후 사용자가 명령줄 또는 Google Cloud 콘솔을 사용하여 구성된 클러스터에 로그인할 수 있습니다.