Configurar o GKE Identity Service em uma frota

Uma frota no Google Cloud é um grupo lógico de clusters do Kubernetes e outros recursos que podem ser gerenciados juntos, criados registrando clusters no Google Cloud. A configuração no nível da frota do GKE Identity Service se baseia na capacidade das frotas para permitir que os administradores configurem a autenticação com os provedores de identidade preferidos para um ou mais clusters do GKE de uma só vez, com a configuração de autenticação mantida pelo GKE Enterprise e armazenada no Google Cloud.

Neste guia, explicamos como configurar o GKE Identity Service no nível da frota para tipos de cluster e ambientes compatíveis.

Neste guia, presumimos que você tenha lido a Visão geral do GKE Identity Service e que já conheça alguns conceitos básicos da frota e com o registro de clusters no Google Cloud. Se não souber, saiba mais no Guia de frotas e em Como registrar um cluster.

Pré-requisitos

Tipos de cluster

Os seguintes tipos de cluster e ambientes são compatíveis com a configuração no nível da frota:

• GKE no VMware, versão 1.8.2 ou mais recente
• GKE em Bare Metal, versão 1.8.3 ou mais recente
• GKE no Azure
• GKE na AWS executando o Kubernetes 1.21 ou mais recente
• Clusters do GKE no Google Cloud com o Identity Service para GKE ativado. Siga as instruções em Serviço de identidade para o GKE para ativar o recurso antes de configurar a autenticação para o cluster.

O seguinte tipo de cluster e ambiente é compatível com a configuração no nível de frota que está atualmente na Pré-GA:

• Clusters anexados do Amazon Elastic Kubernetes Service (Amazon EKS)

Veja como registrar clusters anexados no guia de configuração de clusters anexados.

Outros tipos de cluster e ambientes compatíveis com o GKE Identity Service ainda exigem configuração por cluster.

Talvez você queira usar a configuração por cluster se estiver usando uma versão anterior dos clusters do GKE, caso precise de recursos do GKE Identity Service que ainda não são compatíveis com o gerenciamento do ciclo de vida no nível da frota.

Tipos de provedor de identidade

Se você configurar o serviço de identidade do GKE na frota, será possível usar o OpenID Connect (OIDC), a Linguagem de marcação para autorização de segurança (SAML) ou o protocolo leve de acesso a diretórios (LDAP) ).

Visão geral da configuração

A configuração do GKE Identity Service no nível da frota envolve os seguintes usuários e etapas:

1. O administrador da plataforma registra o GKE Identity Service como um aplicativo cliente com o provedor de identidade de sua preferência e recebe um ID e uma chave secreta do cliente. Para fazer isso, siga as instruções em Como configurar provedores OIDC do GKE Identity Service.
2. O administrador do cluster configura os clusters para usar o serviço. Para fazer isso, siga as instruções em Como configurar clusters do GKE Identity Service.
3. O administrador do cluster define o acesso do usuário e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes para usuários nos clusters. Para fazer isso, siga as instruções em Como configurar o acesso do usuário do GKE Identity Service.