Configura GKE Identity Service a nivel de la flota

Este documento está dirigido a los administradores de clústeres o a los operadores de aplicaciones que configuran GKE Identity Service en sus clústeres. Tiene instrucciones para configurar GKE Identity Service a nivel de la flota en los clústeres con tu proveedor de identidad de OpenID Connect (OIDC) preferido. En las instrucciones de este documento, se supone que GKE Identity Service ya se registró con tu proveedor de identidad como aplicación cliente.

Para obtener más información sobre GKE Identity Service y otras opciones de configuración, consulta la descripción general. Si deseas obtener información para acceder a un clúster con este servicio como desarrollador o como usuario de otro clúster, consulta Accede a clústeres con GKE Identity Service.

Antes de comenzar

Asegúrate de que el administrador de tu plataforma te haya proporcionado toda la información necesaria de Configura proveedores de OIDC para GKE Identity Service antes de comenzar la configuración, incluido el ID de cliente y el secreto del servicio de identidad de GKE.
Asegúrate de que los clústeres que desees configurar cumplan con los requisitos previos para la configuración a nivel de flota. Para otros tipos de clústeres y entornos, consulta la Descripción general de GKE Identity Service.
Asegúrate de tener instaladas las siguientes herramientas de línea de comandos:
- La versión más reciente de Google Cloud CLI, que incluye gcloud, la herramienta de línea de comandos para interactuar con Google Cloud. Si necesitas instalar Google Cloud CLI, consulta la Guía de instalación.
- kubectl para ejecutar comandos en clústeres de Kubernetes. Si necesitas instalar kubectl, consulta la guía de instalación.
Si usas Cloud Shell como entorno de shell para interactuar con Google Cloud, estas herramientas están instaladas.
Asegúrate de haber inicializado la CLI de gcloud para usarla con el proyecto en el que se registran los clústeres.
Si no eres propietario del proyecto, necesitas la función Administrador de GKE Hub en el proyecto en el que los clústeres se registran para completar los pasos de configuración.

Habilita las APIs

Console

Asegúrate de que el proyecto en el que se registran los clústeres esté seleccionado.

Habilita las API de GKE Hub and Kubernetes Engine.
Habilita las API

gcloud

Ejecuta el siguiente comando a fin de habilitar las API necesarias para la configuración:

gcloud services enable 

gkehub.googleapis.com 

container.googleapis.com

Configura los clústeres

Para configurar tus clústeres de modo que usen el proveedor que elegiste, GKE Identity Service necesita que especifiques detalles sobre el proveedor de identidad, la información en los tokens JWT que proporciona para la identificación de los usuarios y otra información proporcionada cuando registras GKE Identity Service como una aplicación cliente.

Por ejemplo, si tu proveedor crea tokens de identidad con los siguientes campos (entre otros), en los que iss es el URI del proveedor de identidad, sub identifica al usuario y groupList enumera los grupos de seguridad que usuario pertenece a:

{
  'iss': 'https://server.example.com'
  'sub': 'u98523-4509823'
  'groupList': ['developers@example.corp', 'us-east1-cluster-admins@example.corp']
  ...
}

…tu configuración tendrá los siguientes campos correspondientes:

issueruri: 'https://server.example.com'
username: 'sub'
group: 'groupList'
...

El administrador de la plataforma, o la persona que administre la identidad en tu organización, debería proporcionarte la mayor parte de la información que necesitas para crear la configuración. Para ver ejemplos de configuración de algunos proveedores de identidad de uso general, consulta Parámetros de configuración específicos de los proveedores.

GKE Identity Service te permite crear o actualizar y aplicar esta configuración desde la consola de Google Cloud o con Google Cloud CLI.

Console

Habilita GKE Identity Service

En la consola de Google Cloud, ve a la página Funciones de GKE Enterprise.

Ir a Funciones de GKE Enterprise
En la tabla Funciones, haz clic en Habilitar en la fila Servicio de identidad y, luego, vuelve a hacer clic en Habilitar en el panel que aparece. Esto crea una nueva instancia de controlador de GKE Identity Service para administrar el ciclo de vida de GKE Identity Service en los clústeres de tu flota.

Seleccionar clústeres

En la tabla Funciones, haz clic en Detalles en la fila Servicio de identidad para abrir el panel de detalles del servicio. Se mostrarán los clústeres de tu proyecto y el estado de GKE Identity Service a nivel de la flota.
Haz clic en Actualizar el servicio de identidad para abrir el panel de configuración.
Selecciona los clústeres que deseas configurar. Solo se pueden seleccionar tipos de clúster compatibles. Puedes elegir clústeres individuales o especificar que deseas que todos los clústeres se configuren con la misma configuración de identidad.
En el menú desplegable Proveedor de identidad, elige cómo deseas configurar el clúster. Si el clúster tiene una configuración de GKE Identity Service existente, puedes optar por actualizarla. Si un clúster registrado existente tiene una configuración de GKE Identity Service que te gustaría usar, puedes optar por copiar esa configuración en los clústeres seleccionados. Para crear una configuración completamente nueva, sigue las instrucciones del proveedor que hayas elegido, como se describe en la siguiente sección.

Configura los detalles del proveedor

Los detalles del proveedor que debes agregar dependerán del tipo de proveedor de identidad que quieras usar para tu configuración.

OIDC

Elige New Open ID Connect para crear una configuración nueva de OIDC.
Especifica el nombre que deseas usar para identificar esta configuración en el campo Nombre del proveedor, por lo general, el nombre del proveedor de identidad. Este nombre debe comenzar con una letra minúscula seguida por un máximo de 39 letras minúsculas, números o guiones, y no puede terminar con un guion. No puedes editar este nombre una vez que hayas creado una configuración.
Especifica el ID de cliente que se muestra cuando registras el servicio de identidad de GKE en tu proveedor en el campo ID de cliente.
Especifica el secreto del cliente que se debe compartir entre la aplicación cliente y el proveedor de identidad en el campo Secreto de cliente.
Especifica el URI en el que se realizan las solicitudes de autorización al proveedor de identidad en el campo URL de la entidad emisora.
Haz clic en Siguiente para establecer los atributos de OIDC.

Azure AD

Elige New Azure Active Directory para crear una configuración nueva de Azure AD.
Especifica el nombre que deseas usar para identificar esta configuración en el campo Nombre del proveedor, por lo general, el nombre del proveedor de identidad. Este nombre debe comenzar con una letra minúscula seguida por un máximo de 39 letras minúsculas, números o guiones, y no puede terminar con un guion. No puedes editar este nombre una vez que hayas creado una configuración.
Especifica el ID de cliente que se muestra cuando registras el servicio de identidad de GKE en tu proveedor en el campo ID de cliente.
Especifica el secreto del cliente que se debe compartir entre la aplicación cliente y el proveedor de identidad en el campo Secreto de cliente.
Especifica el usuario que es la cuenta de Azure AD que se autenticará en el Usuario.
Haz clic en Siguiente para configurar los atributos de Azure AD.

Establece atributos

Los atributos que debes agregar dependen de tu proveedor de identidad y las opciones de configuración que elija el administrador de la plataforma cuando configuras el proveedor para GKE Identity Service.

OIDC

Completa los atributos de configuración:
- URI de redireccionamiento de kubectl: La URL y el puerto de redireccionamiento que usa la CLI de gcloud y que especifica el administrador de la plataforma durante el registro, por lo general, en el formato http://localhost:PORT/callback.
- Autoridad certificadora (opcional): Si el administrador de la plataforma la proporciona, es una string de certificado con codificación PEM para el proveedor de identidad.
- Reclamación grupal (opcional): La reclamación de JWT (nombre del campo) que usa tu proveedor para mostrar los grupos de seguridad de una cuenta.
- Prefijo de grupo (opcional): El prefijo que quieres anteponer a los nombres de los grupos de seguridad para evitar conflictos con los nombres existentes en las reglas de control de acceso si tienes configuraciones para varios proveedores de identidad (por lo general, el nombre del proveedor).
- Proxy (opcional): Dirección del servidor proxy que se usará para conectarse al proveedor de identidad, si corresponde. Es posible que debas configurarlo si, por ejemplo, tu clúster está en una red privada y necesita conectarse a un proveedor de identidad pública. Por ejemplo: http://user:password@10.10.10.10:8888.
- Permisos (opcional): Cualquier permiso adicional que requiera tu proveedor de identidad. Microsoft Azure y Okta requieren el permiso offline_access. Haz clic en Agregar permiso para agregar más permisos si es necesario.
- Reclamación del usuario (opcional): La reclamación de JWT (nombre de campo) que tu proveedor usa para identificar una cuenta. Si no especificas un valor aquí, GKE Identity Service usará “sub”, que es el reclamo de ID de usuario que usan muchos proveedores. Puedes elegir otras reclamaciones, como “correo electrónico” o “nombre”, según el proveedor de OpenID. Las reclamaciones que no sean “correo electrónico” tienen el prefijo de la URL de la entidad emisora para evitar conflictos de nombres.
- Prefijo del usuario (opcional): Si quieres usar el prefijo predeterminado, debes anteponer los reclamos del usuario para evitar conflictos con los nombres existentes.
- Parámetros adicionales (opcional): Cualquier parámetro adicional necesario para la configuración, especificado como el parámetro Clave y Valor. Haz clic en Agregar parámetro para agregar más parámetros si es necesario.
- Habilitar token de acceso (opcional): Si se habilita, permite la compatibilidad de grupo para proveedores de OIDC, como Okta.
- Implementar el proxy de la consola de Google Cloud (opcional): Si se habilita, se implementa un proxy que permite que la consola de Google Cloud se conecte a un proveedor de identidad local al que no se puede acceder públicamente a través de Internet.

Azure AD

Completa los atributos de configuración:

URI de redireccionamiento de kubectl: La URL y el puerto de redireccionamiento que usa la CLI de gcloud y que especifica el administrador de la plataforma durante el registro, por lo general, en el formato http://localhost:PORT/callback.
Reclamación del usuario (opcional): La reclamación de JWT (nombre de campo) que tu proveedor usa para identificar una cuenta. Si no especificas un valor aquí, GKE Identity Service usa un valor en el orden de “email”, “preferred_username” o “sub” para recuperar los detalles del usuario.
Proxy (opcional): Dirección del servidor proxy que se usará para conectarse al proveedor de identidad, si corresponde. Es posible que debas configurarlo si, por ejemplo, tu clúster está en una red privada y necesita conectarse a un proveedor de identidad pública. Por ejemplo: http://user:password@10.10.10.10:8888.

Agregar un proveedor de identidad

Si tienes proveedores de identidad adicionales que deseas configurar para tu flota, tienes la opción de agregar los proveedores aquí. Sigue los pasos para especificar proveedores de identidad adicionales.

Actualiza la configuración

Haz clic en Actualizar configuración. Esto instala GKE Identity Service si es necesario (solo clústeres de EKS, los clústeres de GKE ya tienen GKE Identity Service instalado de forma predeterminada) y aplica la configuración del cliente en los clústeres seleccionados.

gcloud

Cree el archivo de configuración

GKE Identity Service usa un tipo de recurso personalizado (CRD) de Kubernetes llamado ClientConfig para la configuración del clúster, con campos de toda la información que GKE Identity Service necesita para interactuar con el proveedor de identidad. Crea un archivo llamado auth-config.yaml con tu configuración, como se muestra a continuación.

En el siguiente archivo, se muestran una configuración oidc y una configuración azuread. Para obtener más información sobre cuándo usar oidc o azuread, consulta Configuraciones específicas del proveedor.

  apiVersion: authentication.gke.io/v2alpha1
  kind: ClientConfig
  metadata:
    name: default
    namespace: kube-public
  spec:
    authentication:
    - name: NAME
      proxy: PROXY_URL
      oidc:
        certificateAuthorityData: CERTIFICATE_STRING
        clientID: CLIENT_ID
        clientSecret: CLIENT_SECRET
        deployCloudConsoleProxy: PROXY_BOOLEAN
        extraParams: EXTRA_PARAMS
        groupsClaim: GROUPS_CLAIM
        groupPrefix: GROUP_PREFIX
        issuerURI: ISSUER_URI
        kubectlRedirectURI: http://localhost:PORT/callback
        scopes: SCOPES
        userClaim: USER_CLAIM
        userPrefix: USER_PREFIX

    - name: NAME
      proxy: PROXY_URL
      azureAD:
        clientID: CLIENT_ID
        clientSecret: CLIENT_SECRET
        tenant: TENANT_UUID
        kubectlRedirectURI: http://localhost:PORT/callback
        userClaim: USER_CLAIM

Si configuraste más de un proveedor de identidad, puedes enumerar varias configuraciones de autenticación en el archivo auth-config.yaml debajo del anclaje authentication en el mismo formato que ves antes.

En la siguiente tabla, se describen los campos de los objetos oidc y azuread de ClientConfig. La mayoría de los campos son opcionales. Los campos que debes agregar dependen de tu proveedor de identidad y las opciones de configuración que elija el administrador de la plataforma cuando configuras el proveedor para GKE Identity Service.

Campo	Requeridos	Descripción	Formato
nombre	sí	El nombre que deseas usar para identificar esta configuración, que suele ser el nombre del proveedor de identidad. El nombre de configuración debe comenzar con una letra minúscula seguida con un máximo de 39 letras minúsculas, números o guiones, y no puede terminar con un guion.	String
certificateAuthorityData	No	Si el administrador de la plataforma lo proporciona, una string de certificado con codificación PEM para el proveedor de identidad. Incluye la string resultante en `certificateAuthorityData` como una sola línea.	String
clientID	Sí	El identificador de cliente que se muestra cuando registras el servicio de identidad de GKE en tu proveedor.	String
clientSecret	Sí	El secreto del cliente que se mostró cuando registraste GKE Identity Service con tu proveedor.	String
deployCloudConsoleProxy	No	Especifica si se implementa un proxy que permite que la consola de Google Cloud se conecte a un proveedor de identidad local al que no se puede acceder públicamente a través de Internet. El valor predeterminado es de `false`.	Booleano
extraParams	No	Parámetros adicionales de clave=valor para enviar al proveedor de identidad, especificados como una lista separada por comas; por ejemplo, "prompt=consent,access_type=offline".	Lista delimitada por comas
enableAccessToken	No	Si está habilitado, GKE Identity Service puede usar el extremo userinfo del proveedor de identidad para obtener información de grupos cuando un usuario accede desde la línea de comandos. Esto te permite usar grupos de seguridad para la autorización si tienes un proveedor (como Okta) que proporciona reclamaciones de grupo desde este extremo. Si no se configura, se considera que es `false`.	Booleano
groupsClaim	No	La reclamación de JWT (nombre de campo) que usa tu proveedor para mostrar los grupos de seguridad de una cuenta.	String
groupPrefix	No	El prefijo que quieres anteponer a los nombres de los grupos de seguridad para evitar conflictos con los nombres existentes en las reglas de control de acceso si tienes configuraciones para varios proveedores de identidad (por lo general, el nombre del proveedor).	String
issuerURI	Sí	El URI en el que se realizan las solicitudes de autorización al proveedor de identidad. El URI debe usar HTTPS.	String de URL
kubectlRedirectURI	Sí	La URL y el puerto de redireccionamiento que usa la CLI de gcloud, y que especifica tu administrador de la plataforma durante el registro; suelen tener el formato “http://localhost:PORT/callback”.	String de URL
scopes	Sí	Los permisos adicionales que se deben enviar al proveedor de OpenID. Por ejemplo, Okta y Microsoft Azure requieren el permiso `offline_access`.	Lista delimitada por comas
userClaim	No	OIDC: Es la reclamación de JWT (nombre de campo) que tu proveedor usa para identificar una cuenta de usuario. Si no especificas un valor aquí, GKE Identity Service usará “sub”, que es el reclamo de ID de usuario que usan muchos proveedores. Puedes elegir otras reclamaciones, como “correo electrónico” o “nombre”, según el proveedor de OpenID. Las reclamaciones que no sean “correo electrónico” tienen el prefijo de la URL de la entidad emisora para evitar conflictos de nombres. AzureAD: La reclamación de JWT (nombre del campo) que tu proveedor usa para identificar una cuenta. Si no especificas un valor aquí, GKE Identity Service usa un valor en el orden de “email”, “preferred_username” o “sub” para recuperar los detalles del usuario.	String
userPrefix	No	El prefijo que deseas anteponer a las reclamaciones de los usuarios para evitar conflictos con los nombres existentes, si no deseas usar el prefijo predeterminado.	String
instancia	Sí	El tipo de cuenta de Azure AD que se autenticará. Los valores admitidos son el ID del usuario o su nombre para las cuentas que pertenecen a una instancia específica. El nombre del usuario también se conoce como el dominio principal. Para obtener detalles sobre cómo encontrar estos valores, consulta Encuentra el ID de usuario y el nombre de dominio principal de Microsoft Azure AD.	String
proxy	No	Dirección del servidor proxy que se usará para conectarse al proveedor de identidad, si corresponde. Es posible que debas configurarlo si, por ejemplo, tu clúster está en una red privada y necesita conectarse a un proveedor de identidad pública. Por ejemplo: `http://user:password@10.10.10.10:8888`.	String

Habilita GKE Identity Service

También puedes habilitar GKE Identity Service con una configuración predeterminada a nivel de la flota. Con esta configuración, los parámetros que especifiques se aplicarán automáticamente a cada clúster nuevo registrado en tu flota. Para obtener más información sobre los parámetros de configuración predeterminados a nivel de la flota, consulta Configura los valores predeterminados a nivel de la flota.

Para habilitar GKE Identity Service en tu proyecto, ejecuta el siguiente comando:

gcloud container fleet identity-service enable

Esto crea una nueva instancia de controlador de GKE Identity Service para administrar el ciclo de vida de GKE Identity Service en los clústeres de tu flota. Solo debes ejecutar este comando una vez por proyecto para usar GKE Identity Service con todos los clústeres compatibles registrados en tu flota de proyectos.

Aplica la configuración a un clúster

Para instalar GKE Identity Service si es necesario (solo clústeres de EKS, los clústeres de GKE ya tienen instalado GKE Identity Service de forma predeterminada) y aplicar la configuración a un clúster, ejecuta el siguiente comando:

gcloud container fleet identity-service apply \
--membership=CLUSTER_NAME \
--config=/path/to/auth-config.yaml

...en el que CLUSTER_NAME es el nombre único de tu clúster dentro de la flota.

Después de aplicar la configuración del clúster, el controlador del servicio de identidad de GKE administra esta configuración y la considera la “fuente de información”. El controlador concilia cualquier cambio local realizado en la configuración del cliente de GKE Identity Service con la configuración especificada en esta configuración.

Ten en cuenta que, si tienes una configuración existente en tu clúster para cualquier opción de autenticación, como la configuración LDAP, se aplica lo siguiente:

Si tienes parámetros de configuración existentes a nivel de clúster para proveedores de OIDC, aplicar el control de GKE Identity Service a nivel de la flota al clúster reemplazará todas tus especificaciones de autenticación existentes.
Si tienes configuraciones existentes a nivel de clúster para proveedores que no son compatibles con la configuración a nivel de la flota (como LDAP), esta configuración fallará. Debes quitar la configuración del proveedor existente para aplicar la configuración a nivel de la flota.

Si ya no quieres que el controlador de Anthos Identity Service administre la configuración, por ejemplo, si quieres usar opciones de autenticación diferentes, sigue las instrucciones de Inhabilita la administración de GKE Identity Service para inhabilitar esta función.

Parámetros de configuración específica del proveedor

En esta sección, se proporciona una guía de configuración para los proveedores de OIDC (como Azure AD y Okta), incluido un ejemplo de configuración que puedes copiar y editar con tus propios detalles.

Azure AD

Esta es la configuración predeterminada para configurar GKE Identity Service con Azure AD. El uso de esta configuración permite que GKE Identity Service obtenga información de usuarios y grupos de Azure AD y te permite configurar el control de acceso basado en funciones (RBAC) de Kubernetes basado en los grupos. Sin embargo, usar esta configuración te limita a recuperar aproximadamente 200 grupos por usuario.

Si necesitas recuperar más de 200 grupos por usuario, consulta las instrucciones de Azure AD (Advanced).

...
spec:
  authentication:
  - name: oidc-azuread
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      extraParams: prompt=consent, access_type=offline
      issuerURI: https://login.microsoftonline.com/TENANT_ID/v2.0
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: openid,email,offline_access
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Azure AD (avanzado)

Esta configuración opcional para Azure AD permite que GKE Identity Service recupere información de usuarios y grupos sin límite en la cantidad de grupos por usuario mediante la API de Microsoft Graph. Para obtener información sobre las plataformas que admiten esta configuración, consulta Configuración avanzada para Azure AD.

Si necesitas recuperar menos de 200 grupos por usuario, te recomendamos que uses la configuración predeterminada con un ancla oidc en tu ClientConfig. Para obtener más información, consulta las instrucciones de Azure AD.

Todos los campos de la configuración de ejemplo son obligatorios.

...
spec:
  authentication:
  - name: azure
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_UUID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Reemplaza GROUP_FORMAT por el formato en el que deseas recuperar la información del grupo. Este campo puede tener valores correspondientes a ID o NAME de los grupos de usuarios. Actualmente, este parámetro de configuración se encuentra disponible para GKE en VMware y Google Distributed Cloud Virtual for Bare Metal.

Okta

En el siguiente ejemplo, se muestra cómo configurar la autenticación mediante usuarios y grupos con Okta como proveedor de identidad. Esta configuración permite que Anthos Identity Service recupere reclamaciones de usuarios y grupos mediante un token de acceso y el extremo userinfo de Okta.

...
spec:
  authentication:
  - name: okta
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      enableAccessToken: true
      extraParams: prompt=consent
      groupsClaim: groups
      issuerURI: https://OKTA_ISSUER_URI/
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: offline_access,email,profile,groups
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Configura los valores predeterminados a nivel de la flota

Puedes habilitar GKE Identity Service con una configuración predeterminada a nivel de la flota. Con esta configuración, cada clúster de GKE en Google Cloud nuevo que se registre durante la creación del clúster o clúster de Anthos tendrá GKE Identity Service habilitado en el clúster con la configuración que especifiques. Para obtener más información sobre la administración de la configuración a nivel de la flota, consulta Administra las funciones a nivel de la flota.

Para configurar GKE Identity Service con una configuración predeterminada a nivel de la flota, haz lo siguiente:

Crea un archivo llamado fleet-default.yaml y propágalo según lo indicado en Cómo crear el archivo de configuración.
Habilita GKE Identity Service con una configuración predeterminada a nivel de la flota:

Nota: Si GKE Identity Service ya está habilitado en tu flota sin una configuración predeterminada a nivel de la flota, usa el comando apply en su lugar.
```
gcloud container fleet identity-service enable --fleet-default-member-config=fleet-default.yaml
```
Para modificar la configuración predeterminada existente a nivel de la flota o agregar una si GKE Identity Service ya está habilitado en tu flota sin una configuración predeterminada a nivel de la flota, ejecuta el siguiente comando:
```
gcloud container fleet identity-service apply --fleet-default-member-config=default-config.yaml
```
Los clústeres registrados antes de que se configure la configuración predeterminada a nivel de la flota no heredan automáticamente la configuración predeterminada. Si deseas aplicar la configuración predeterminada a un clúster que pertenece a esta clase de clústeres, ejecuta el siguiente comando:
```
gcloud container fleet identity-service apply --origin=fleet --membership=CLUSTER_NAME
```
Para quitar la configuración predeterminada a nivel de la flota, ejecuta el siguiente comando:
```
gcloud container fleet identity-service delete --fleet-default-member-config
```

Verifica la configuración del servicio de identidad

Después de completar la configuración a nivel de la flota, puedes verificar si los clústeres de tu flota se configuraron de forma correcta con la configuración del servicio de identidad que especificaste.

Console

En la consola de Google Cloud, ve a la página Funciones de GKE Enterprise.

Ir a GKE Enterprise Feature Management
Todas las funciones habilitadas aparecen como Habilitadas en la lista Funciones.
Haz clic en DETALLES en la función Identity Service. En un panel de detalles, se muestra el estado de los clústeres registrados.

gcloud

Ejecuta el siguiente comando:

gcloud container fleet identity-service describe

Configura el acceso de los usuarios

Después de configurar los clústeres, continúa con la configuración de acceso del usuario.

Inhabilita la administración de GKE Identity Service a nivel de la flota

Si ya no quieres que Google Cloud administre la configuración y el ciclo de vida de GKE Identity Service, puedes inhabilitar esta función. Inhabilitar la administración a nivel de la flota no quita GKE Identity Service ni tu configuración de autenticación del clúster, por lo que los usuarios aún pueden autenticarse en el clúster con tu proveedor de identidad de terceros configurado. Sin embargo, si realizas ediciones manuales locales en el clúster y los recursos o la configuración de GKE Identity Service, esos cambios ya no se concilian con un estado deseado de “fuente de confianza única”.

Inhabilita la administración a nivel de flota para un clúster

Para inhabilitar la administración a nivel de la flota para un clúster, ejecuta el siguiente comando:

gcloud container fleet identity-service delete --membership=CLUSTER_NAME

En el ejemplo anterior, CLUSTER_NAME es el nombre único de tu clúster dentro de la flota.

Inhabilita la administración a nivel de flota para una flota

Haz lo siguiente para inhabilitar la administración de GKE Identity Service a nivel de la flota para tu flota.

Console

En la consola de Google Cloud, ve a la página Funciones de GKE Enterprise.

Ir a Funciones de GKE Enterprise
En la tabla Funciones, haz clic en Detalles en la fila Servicio de identidad y, luego, en Inhabilitar GKE Identity Service en el panel que aparece.

gcloud

Ejecuta el siguiente comando:

gcloud container fleet identity-service disable

Después de inhabilitar la función para tu flota, ya no podrás ver ni actualizar el estado de GKE Identity Service de ningún clúster en la consola de Google Cloud ni mediante gcloud.

Soluciona problemas

Si tienes problemas durante esta configuración, consulta nuestra guía de solución de problemas.