准备舰队级设置

Google Cloud 中的舰队是 Kubernetes 集群及其他可共同管理的资源的逻辑组，通过将集群注册到 Google Cloud 而创建。GKE Identity Service 的舰队级设置以舰队的强大功能为基础，可让管理员使用其首选身份提供方一次为一个或多个 GKE 集群设置身份验证，其身份验证配置由 GKE Enterprise 维护并存储在 Google Cloud 中。 本文档适用于希望为舰队设置 GKE Identity Service 的集群管理员或应用运维人员。

支持的集群类型

舰队级设置支持以下集群类型和环境：

• VMware 上的 Google Distributed Cloud（纯软件），1.8.2 版或更高版本
• 裸金属上的 Google Distributed Cloud（纯软件），1.8.3 版或更高版本
• GKE on Azure
• 运行 Kubernetes 1.21 或更高版本的 GKE on AWS
• Google Cloud 上已启用 Identity Service for GKE 的 GKE 集群。按照 Identity Service for GKE 中的说明启用该功能，然后再为集群配置身份验证。

为非正式功能的舰队级设置支持以下集群类型和环境：

• Amazon Elastic Kubernetes Service (Amazon EKS) 挂接的集群

如需详细了解关联集群，请参阅 GKE 关联集群。

其他 GKE Identity Service 支持的集群类型和环境仍需要进行个别集群设置。如果您使用的是早期版本的 GKE 集群，或者您需要舰队级生命周期管理尚不支持的 GKE Identity Service 功能，则也建议您使用按集群设置。

支持的身份提供方协议

如果您配置舰队级 GKE Identity Service，则可以使用支持 OIDC、SAML 或 LDAP 协议的身份提供商。

准备工作

• 请确保平台管理员已为您提供所有必要的详细信息，包括 GKE Identity Service 的客户端 ID 和密钥。
• 确保您已安装以下命令行工具：
  • 最新版本的 Google Cloud CLI，其中包含用于与 Google Cloud 交互的命令行工具 gcloud。如果您需要安装 Google Cloud CLI，请参阅安装指南。
  • kubectl，用于对 Kubernetes 集群运行命令。如果您需要安装 kubectl，请参阅安装指南。 如果您使用 Cloud Shell 作为与 Google Cloud 交互的 Shell 环境，则系统会为您安装这些工具。
• 确保您已初始化要用于在其中注册集群的项目的 gcloud CLI。
• 如果您不是项目所有者，则您需要具有在其中注册集群的项目的 GKE Hub Admin 角色才能完成配置步骤。

设置舰队

安装所有必要的信息和组件后，您可以开始在舰队级层设置集群。