Configura GKE Identity Service para una flota

Una flota en Google Cloud es un grupo lógico de clústeres de Kubernetes y otros recursos que se pueden administrar juntos y que se crean mediante el registro de clústeres en Google Cloud. La configuración a nivel de la flota para GKE Identity Service se basa en la capacidad de estas y permite que los administradores configuren la autenticación con sus proveedores de identidad preferidos para uno o más clústeres de GKE a la vez, con la configuración de autenticación mantenida por GKE Enterprise y almacenada en Google Cloud.

En esta guía, se explica cómo configurar GKE Identity Service a nivel de la flota para los tipos de clústeres y entornos compatibles.

En esta guía, se supone que leíste la Descripción general de GKE Identity Service y que ya conoces algunos conceptos básicos de la flota y el registro de clústeres en Google Cloud. De lo contrario, puedes obtener más información en la guía de flotas y en Registra un clúster.

Requisitos previos

Tipos de clústeres

Los siguientes entornos y tipos de clúster son compatibles con la configuración a nivel de flota:

• GKE en VMware, versión 1.8.2 o posterior
• GKE en Bare Metal, versión 1.8.3 o posterior
• GKE en Azure
• GKE en AWS que ejecuta Kubernetes 1.21 o una versión posterior
• Clústeres de GKE en Google Cloud con el servicio de identidad para GKE habilitado. Sigue las instrucciones en el servicio de identidad para GKE a fin de habilitar la función antes de configurar la autenticación para el clúster.

El siguiente entorno y tipo de clúster son compatibles con la configuración a nivel de flota que, por el momento, se encuentra en antes de disponibilidad general:

• Clústeres conectados de Amazon Elastic Kubernetes Service (Amazon EKS)

Puedes averiguar cómo registrar los clústeres conectados en la guía de configuración de clústeres conectados.

Otros tipos de clústeres y entornos compatibles con GKE Identity Service aún requieren configuración por clúster.

También puedes usar la configuración por clúster si usas una versión anterior de los clústeres de GKE si necesitas funciones de GKE Identity Service que aún no son compatibles con la administración del ciclo de vida a nivel de la flota.

Tipos de proveedores de identidad

Si configuras GKE Identity Service a nivel de la flota, solo puedes usar los proveedores de identidad de OpenID Connect (OIDC).

Si quieres usar un proveedor de identidad de LDAP, puedes obtener información sobre cómo configurarlo por clúster en Cómo configurar GKE Identity Service con LDAP.

Descripción general de la configuración

La configuración de GKE Identity Service a nivel de la flota implica los siguientes usuarios y pasos:

1. El administrador de la plataforma registra GKE Identity Service como una aplicación cliente con su proveedor de identidad preferido y obtiene un ID de cliente y un secreto. Para hacerlo, sigue las instrucciones en Configura proveedores de OIDC para GKE Identity Service.
2. El administrador del clúster configura los clústeres para que usen el servicio. Para ello, sigue las instrucciones en Configura clústeres para GKE Identity Service.
3. El administrador del clúster configura el acceso de usuarios y, de forma opcional, configura el control de acceso basado en funciones (RBAC) de Kubernetes para los usuarios en los clústeres. Para ello, sigue las instrucciones en Configura el acceso de usuarios para GKE Identity Service.