Questa pagina è stata tradotta dall'API Cloud Translation.

configura GKE Identity Service per un parco risorse

Un parco risorse in Google Cloud è un gruppo logico di cluster Kubernetes e altre risorse che possono essere gestiti insieme, creato registrando i cluster in Google Cloud. La configurazione a livello di parco risorse per GKE Identity Service si basa sulla potenza dei parchi risorse per consentire agli amministratori di configurare l'autenticazione con i loro provider di identità preferiti per uno o più cluster GKE contemporaneamente, con la configurazione dell'autenticazione gestita da GKE Enterprise e archiviata in Google Cloud.

Questa guida spiega come configurare GKE Identity Service a livello di parco risorse per tipi di cluster e ambienti supportati.

Questa guida presuppone che tu abbia letto la panoramica di GKE Identity Service e che tu abbia già familiarità con alcuni concetti di base del parco risorse e con la registrazione dei cluster in Google Cloud. In caso contrario, puoi trovare ulteriori informazioni nella Guida dei parchi risorse e in Registrazione di un cluster.

Prerequisiti

Tipi di cluster

Per la configurazione a livello di parco risorse sono supportati i seguenti tipi di cluster e ambienti:

Google Distributed Cloud (solo software) su VMware, versione 1.8.2 o successive
Google Distributed Cloud (solo software) on bare metal, versione 1.8.3 o successive
GKE su Azure
GKE su AWS con Kubernetes 1.21 o versioni successive,
Cluster GKE su Google Cloud con Identity Service for GKE abilitato. Segui le istruzioni in Identity Service per GKE per abilitare la funzionalità prima di configurare l'autenticazione per il cluster.

Il tipo di cluster e l'ambiente seguenti sono supportati per la configurazione a livello di parco risorse in pre-GA:

Cluster collegati con Amazon Elastic Kubernetes Service (Amazon EKS)

Puoi scoprire come registrare i cluster collegati nella guida alla configurazione dei cluster collegati.

Altri tipi di cluster e ambienti supportati da GKE Identity Service continuano a richiedere la configurazione in base al cluster.

Ti consigliamo di utilizzare la configurazione per cluster anche se utilizzi una versione precedente dei cluster GKE e se hai bisogno di funzionalità del servizio di identità GKE che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.

Tipi di provider di identità

Se configuri il servizio di identità GKE a livello di parco risorse, puoi utilizzare i provider di identità OpenID Connect (OIDC), SAML (Security Assertion Markup Language) o LDAP (Lightweight Directory Access Protocol).

Panoramica della configurazione

La configurazione di GKE Identity Service a livello di parco risorse prevede i seguenti utenti e passaggi:

L'amministratore della piattaforma registra GKE Identity Service come applicazione client con il provider di identità preferito e ottiene un ID client e un secret. Per farlo, segui le istruzioni in Configurare i provider OIDC per GKE Identity Service.
L'amministratore del cluster configura i cluster per l'utilizzo del servizio. Per farlo, segui le istruzioni in Configurare i cluster per il servizio di identità GKE.
L'amministratore del cluster configura l'accesso degli utenti e, facoltativamente, configura il controllo dell'accesso basato su ruoli (RBAC) di Kubernetes per gli utenti dei cluster. Per farlo, segui le istruzioni in Configurare l'accesso utente per GKE Identity Service.