Descripción general de GKE Identity Service
GKE Identity Service es un servicio de autenticación que se integra con tus soluciones de identidad existentes, lo que te permite usar estas soluciones de identidad en varios entornos de GKE Enterprise. Los usuarios pueden acceder a los clústeres de GKE y administrarlos desde la línea de comandos o desde la consola de Google Cloud, todo con tu proveedor de identidad existente.
Si prefieres usar IDs de Google para acceder a tus clústeres de GKE en lugar de un proveedor de identidad, consulta Conéctate a clústeres registrados con la puerta de enlace de Connect.
Proveedores de identidad compatibles
GKE Identity Service admite los siguientes protocolos de proveedores de identidad para verificar y autenticar a los usuarios cuando intentan acceder a recursos o servicios:
- OpenID Connect (OIDC): OIDC es un protocolo de autenticación moderno y ligero que se compila sobre el framework de autorización OAuth 2.0. Proporcionamos instrucciones específicas para la configuración de algunos proveedores de OpenID Connect populares, incluido Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
- Lenguaje de marcado para confirmaciones de seguridad (SAML): SAML es un estándar basado en XML para el intercambio de datos de autenticación y autorización entre las partes, principalmente entre un proveedor de identidad (IdP) y un proveedor de servicios (SP). Puedes usar GKE Identity Service para autenticar con SAML.
- Protocolo ligero de acceso a directorios (LDAP): El LDAP es un protocolo estandarizado y maduro para acceder a servicios de información de directorios y administrarlos. Por lo general, se usa para almacenar y recuperar información del usuario, como nombres de usuario, contraseñas y membresías de grupos. Puede usar GKE Identity Service para autenticar mediante LDAP con Active Directory o un servidor LDAP.
Tipos de clústeres compatibles
Protocolo | GDC (VMware) | GDC (bare metal) | GKE en AWS | GKE en Azure | Clústeres adjuntos de EKS | GKE en Google Cloud |
---|---|---|---|---|---|---|
OIDC | ||||||
LDAP | ||||||
SAML |
Otros tipos de clústeres adjuntos no son compatibles con GKE Identity Service.
Proceso de configuración
La configuración de GKE Identity Service para tus clústeres implica los siguientes usuarios y pasos del proceso:
- Configura proveedores: El administrador de plataforma registra GKE Identity Service como una aplicación cliente con su proveedor de identidad preferido y obtiene un ID de cliente y un Secret.
- Configura clústeres individuales o configura tu flota: el administrador del clúster configura clústeres para tu servicio de identidad. Puedes configurar GKE Identity Service en un clúster mediante clústeres por clúster de GKE de forma local (VMware y en equipos físicos) en Azure y en AWS. Como alternativa, puedes configurar GKE Identity Service para una flota, que es un grupo lógico de clústeres que te permite habilitar la funcionalidad y actualizar la configuración entre estos clústeres.
- Configura el acceso de los usuarios: El administrador del clúster configura el acceso de acceso de los usuarios para autenticarse en los clústeres con el enfoque de acceso de FQDN (recomendado) o acceso basado en archivos y, de forma opcional, configura el control de acceso basado en roles (RBAC) de Kubernetes para los usuarios de estos clústeres.