Am 2. November wurde eine neue Version von GKE on AWS veröffentlicht. Weitere Informationen finden Sie in den Versionshinweisen.

Authentication

GKE in AWS unterstützt die folgenden Authentifizierungsmethoden:

Verbinden

Damit Sie sich über die Google Cloud Console mit Connect anmelden können, kann GKE in AWS das Inhabertoken eines Kubernetes-Dienstkontos verwenden. Weitere Informationen finden Sie unter Über die Cloud Console bei einem Cluster anmelden.

Kubernetes API-Server und ID-Token

Nach der Authentifizierung bei dem Cluster können Sie über die kubectl-Befehlszeile des Cloud SDK interagieren. Wenn kubectl den Kubernetes API-Server im Namen des Nutzers aufruft, überprüft der API-Server das Token mithilfe des öffentlichen Zertifikats des OpenID-Anbieters. Anschließend parst der API-Server das Token, um die Identität und die Sicherheitsgruppen des Nutzers zu ermitteln.

Der API-Server ermittelt, ob der Nutzer berechtigt ist, diesen bestimmten Aufruf auszuführen. Dazu gleicht er die Sicherheitsgruppen des Nutzers mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) des Clusters ab.

OIDC

In diesem Abschnitt wird davon ausgegangen, dass Sie mit OAuth 2.0 und OpenID Connect vertraut sind. Außerdem sollten Sie mit Bereichen und Anforderungen im Rahmen der OpenID-Authentifizierung vertraut sein.

Übersicht

Mit OIDC können Sie den Zugriff auf Kubernetes-Cluster verwalten und die Standardverfahren in Ihrer Organisation zum Erstellen, Aktivieren und Deaktivieren von Mitarbeiterkonten verwenden. Sie können auch die Sicherheitsgruppen Ihrer Organisation verwenden, um den Zugriff auf einen Kubernetes-Cluster oder auf bestimmte Dienste im Cluster zu konfigurieren.

Dies ist ein typischer OIDC-Anmeldevorgang:

  • Ein Nutzer meldet sich bei einem OpenID-Anbieter an, indem er einen Nutzernamen und ein Passwort angibt.

  • Der OpenID-Anbieter signiert und stellt ein ID-Token für den Nutzer aus.

  • Das gcloud-Tool sendet eine HTTPS-Anfrage an den Kubernetes API-Server. Die Anfrage enthält das ID-Token des Nutzers im Anfrageheader.

  • Der Kubernetes API-Server überprüft das Token mithilfe des Zertifikats des Anbieters.

Wenn Ihr Unternehmen einen ADFS-Server (Active Directory Federation Services) ausführt, kann dieser als Ihr OpenID-Anbieter dienen. Eine weitere Möglichkeit besteht darin, einen Drittanbieter als OpenID-Anbieter zu verwenden. Beispielsweise sind Google, Microsoft, Facebook und Twitter alle OpenID-Anbieter.

Mit dem gcloud-Tool anmelden

Führen Sie den Befehl gcloud anthos auth login aus, um sich bei Ihren Clustern zu authentifizieren. Das gcloud-Tool authentifiziert Ihre Anfrage beim Kubernetes API-Server.

Zur Verwendung der Methodegcloud Ihre OIDC-ID-Tokens müssen imkubeconfig Datei, um die Option zu aktivieren. Fügen Sie Ihrer Datei kubeconfig mit gcloud anthos create-login-config Tokens hinzu. GKE in AWS verwendet das gcloud-Tool, um das ID-Token und andere OIDC-Werte in der Datei kubeconfig anzufordern und abzurufen.