Los clústeres de Anthos alojados en VMware admiten OpenID Connect (OIDC) y el protocolo ligero de acceso a directorios (LDAP) como mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster. mediante Anthos Identity Service. Anthos Identity Service es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación en varios entornos de Anthos. Los usuarios pueden acceder y usar los clústeres de Anthos desde la línea de comandos (todos los proveedores) o desde la consola de Cloud (solo OIDC), todo con tu proveedor de identidad existente.
Puedes usar proveedores de identidad locales y de acceso público con Anthos Identity Service. Si tu empresa ejecuta un servidor de los Servicios de federación de Active Directory (ADFS), este podría funcionar como tu proveedor de OpenID. También puedes usar servicios de proveedores de identidad de acceso público, como Okta. Una Public Certificate Authority (CA) conocida o una CA privada pueden emitir certificados de proveedor de identidad.
Para obtener una descripción general de cómo funciona Anthos Identity Service, consulta Introducción a Anthos Identity Service.
Si ya usas o quieres usar ID de Google para acceder a tus clústeres de Anthos en lugar de un proveedor de OIDC o LDAP, te recomendamos usar la puerta de enlace de Connect para la autenticación. Obtén más información en Conéctate a clústeres registrados con la puerta de enlace de Connect.
Proceso y opciones de configuración
OIDC
Registra Anthos Identity Service como cliente con tu proveedor de OIDC mediante las instrucciones que se indican en Configura proveedores para Anthos Identity Service.
Elige entre las siguientes opciones de configuración del clúster:
- Configura tus clústeres a nivel de la flota según las instrucciones de Configura clústeres para Anthos Identity Service a nivel de flota (vista previa, clústeres de Anthos alojados en VMware versión 1.8 y posteriores). Con esta opción, Google Cloud administra la configuración de autenticación de forma centralizada.
- Configurar los clústeres de forma individual mediante las instrucciones en Configura clústeres para Anthos Identity Service con OIDC Debido a que la configuración a nivel de flota es una función de vista previa, te recomendamos usar esta opción en entornos de producción, si usas una versión anterior de clústeres de Anthos en VMware o si necesitas funciones de Anthos Identity Service que aún no son compatibles con la flota a nivel de ciclo de vida de la administración.
Configura el acceso de usuarios a tus clústeres, incluido el control de acceso basado en funciones (RBAC), mediante las instrucciones de Configura el acceso de usuarios a Anthos Identity Service.
LDAP
- Sigue las instrucciones en Configura Anthos Identity Service con LDAP.
Accede a clústeres
Después de configurar Anthos Identity Service, los usuarios pueden acceder a los clústeres configurados mediante la línea de comandos o la consola de Cloud.
- Obtén información para acceder a clústeres registrados con tu ID de OIDC o LDAP en Accede a clústeres mediante Anthos Identity Service.
- Obtén información para acceder a los clústeres desde la consola de Cloud en Accede a un clúster desde la consola de Cloud (solo OIDC).