Versão 1.5. Essa versão é totalmente compatível com os patches e as atualizações mais recentes para vulnerabilidades de segurança, exposições e problemas que afetam os clusters do Anthos no VMware. Consulte as notas da versão para saber mais detalhes. Esta é a versão mais recente.

Authentication

Os clusters do Anthos no VMware (GKE On-Prem) são compatíveis com o OpenID Connect (OIDC) para a autenticação em clusters de usuários usando a linha de comando. Veja os seguintes tópicos:

Para fazer login usando o Console do Google Cloud, os clusters do Anthos no VMware são compatíveis com o uso de um token do portador da conta de serviço do Kubernetes. Consulte Como fazer login em um cluster no Console do Cloud.

Este tópico pressupõe que você conheça o OAuth 2.0 e o OpenID Connect. Também é necessário conhecer escopos e declarações no contexto da autenticação do OpenID.

Visão geral

Use o OIDC para gerenciar o acesso a um cluster do Kubernetes com os procedimentos padrão da organização para criar, ativar e desativar contas de funcionários. Também é possível usar os grupos de segurança da sua organização para configurar o acesso a um cluster do Kubernetes ou a serviços específicos no cluster.

  • Um usuário faz login em um provedor OpenID apresentando um nome de usuário e uma senha.

  • O provedor de OpenID emite um token de ID para o usuário. O token é assinado pelo provedor.

  • Um aplicativo, atuando em nome do usuário, envia uma solicitação HTTPS para o servidor da API Kubernetes. O aplicativo inclui o token de ID do usuário no cabeçalho da solicitação.

  • O servidor da API Kubernetes verifica o token usando o certificado do provedor.

Se sua empresa executa um servidor de Serviços de federação do Active Directory (ADFS, na sigla em inglês). O servidor ADFS pode servir como seu provedor de OpenID. Outra opção é usar um terceiro como seu provedor de OpenID, como Google, Microsoft, Facebook e Twitter, todos provedores de OpenID.

Como usar a CLI gcloud para chamar o servidor da API Kubernetes

Você executa o comando gcloud anthos auth login para autenticar com os clusters e, como resultado, sua solicitação vai para o servidor da API Kubernetes.

Para que isso funcione, seus tokens de ID OIDC precisam ser armazenados no arquivo kubeconfig. Os clusters do Anthos no VMware usam a CLI gcloud do SDK do Cloud para solicitar e receber o token de ID e outros valores OIDC no arquivo kubeconfig.

O servidor da API Kubernetes e o token de ID

Após a autenticação com o cluster, é possível interagir usando a CLI kubectl do SDK do Cloud. Quando kubectl chama o servidor da API Kubernetes em nome do usuário, o servidor da API verifica o token usando o certificado público do provedor OpenID. Em seguida, o servidor da API analisa o token para saber a identidade do usuário e os grupos de segurança dele.

O servidor da API determina se o usuário está autorizado a fazer essa chamada, comparando os grupos de segurança do usuário com a política de controle de acesso baseado em papéis (RBAC, na sigla em inglês) do cluster.