Configurar o GKE Identity Service em uma frota
Uma frota no Google Cloud é um grupo lógico de clusters do Kubernetes e outros recursos que podem ser gerenciados juntos, criados registrando clusters no Google Cloud. A configuração no nível da frota do GKE Identity Service se baseia na capacidade das frotas para permitir que os administradores configurem a autenticação com os provedores de identidade preferidos para um ou mais clusters do GKE de uma só vez, com a configuração de autenticação mantida pelo GKE Enterprise e armazenada no Google Cloud.
Neste guia, explicamos como configurar o GKE Identity Service no nível da frota para tipos de cluster e ambientes compatíveis.
Neste guia, presumimos que você tenha lido a Visão geral do GKE Identity Service e que já conheça alguns conceitos básicos da frota e com o registro de clusters no Google Cloud. Se não souber, saiba mais no Guia de frotas e em Como registrar um cluster.
Pré-requisitos
Tipos de cluster
Os seguintes tipos de cluster e ambientes são compatíveis com a configuração no nível da frota:
- GKE no VMware, versão 1.8.2 ou mais recente
- GKE em Bare Metal, versão 1.8.3 ou mais recente
- GKE no Azure
- GKE na AWS executando o Kubernetes 1.21 ou mais recente
- Clusters do GKE no Google Cloud com o Identity Service para GKE ativado. Siga as instruções em Serviço de identidade para o GKE para ativar o recurso antes de configurar a autenticação para o cluster.
O seguinte tipo de cluster e ambiente é compatível com a configuração no nível de frota que está atualmente na Pré-GA:
- Clusters anexados do Amazon Elastic Kubernetes Service (Amazon EKS)
Veja como registrar clusters anexados no guia de configuração de clusters anexados.
Outros tipos de cluster e ambientes compatíveis com o GKE Identity Service ainda exigem configuração por cluster.
Talvez você queira usar a configuração por cluster se estiver usando uma versão anterior dos clusters do GKE, caso precise de recursos do GKE Identity Service que ainda não são compatíveis com o gerenciamento do ciclo de vida no nível da frota.
Tipos de provedor de identidade
Se você configurar o serviço de identidade do GKE na frota, será possível usar o OpenID Connect (OIDC), a Linguagem de marcação para autorização de segurança (SAML) ou o protocolo leve de acesso a diretórios (LDAP) ).
Visão geral da configuração
A configuração do GKE Identity Service no nível da frota envolve os seguintes usuários e etapas:
- O administrador da plataforma registra o GKE Identity Service como um aplicativo cliente com o provedor de identidade de sua preferência e recebe um ID e uma chave secreta do cliente. Para fazer isso, siga as instruções em Como configurar provedores OIDC do GKE Identity Service.
- O administrador do cluster configura os clusters para usar o serviço. Para fazer isso, siga as instruções em Como configurar clusters do GKE Identity Service.
- O administrador do cluster define o acesso do usuário e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes para usuários nos clusters. Para fazer isso, siga as instruções em Como configurar o acesso do usuário do GKE Identity Service.