Configura el servicio de identidad de GKE para una flota
Una flota en Google Cloud es un grupo lógico de clústeres de Kubernetes y otros recursos que se pueden administrar juntos y que se crean mediante el registro de clústeres en Google Cloud. La configuración de nivel de flota para GKE Identity Service se basa en la potencia de las flotas a fin de permitir que los administradores configuren la autenticación con sus proveedores de identidad preferidos para uno o más clústeres de GKE a la vez, con la configuración de autenticación mantenida por GKE Enterprise y almacenada en Google Cloud.
En esta guía, se explica cómo configurar GKE Identity Service a nivel de flota para tipos y entornos de clúster compatibles.
En esta guía, se da por sentado que leíste una descripción general de GKE Identity Service y que ya estás familiarizado con algunos conceptos básicos de la flota y con el registro de clústeres en Google Cloud. De lo contrario, puedes obtener más información en la guía de flotas y en Registra un clúster.
Requisitos previos
Tipos de clústeres
Los siguientes entornos y tipos de clúster son compatibles con la configuración a nivel de flota:
- GKE en VMware, versión 1.8.2 o posterior
- GKE on Bare Metal, versión 1.8.3 o posterior
- GKE en Azure
- GKE en AWS que ejecuta Kubernetes 1.21 o una versión posterior
- Clústeres de GKE en Google Cloud con el servicio de identidad para GKE habilitado. Sigue las instrucciones en el servicio de identidad para GKE a fin de habilitar la función antes de configurar la autenticación para el clúster.
El siguiente entorno y tipo de clúster es compatible con la configuración a nivel de flota que se encuentra en fase previa a la DG:
- Clústeres conectados de Amazon Elastic Kubernetes Service (Amazon EKS)
Puedes averiguar cómo registrar los clústeres conectados en la guía de configuración de clústeres conectados.
Otros entornos y tipos de clústeres compatibles con GKE Identity Service aún requieren configuración por clúster.
Es posible que también quieras usar la configuración por clúster si usas una versión anterior de los clústeres de GKE, si necesitas funciones de GKE Identity Service que aún no son compatibles con la administración del ciclo de vida a nivel de la flota.
Tipos de proveedores de identidad
Si configuras el servicio de identidad de GKE a nivel de la flota, puedes usar OpenID Connect (OIDC), el lenguaje de marcado para confirmaciones de seguridad (SAML) o proveedores de identidad de Protocolo ligero de acceso a directorios (LDAP) ).
Descripción general de la configuración
La configuración de GKE Identity Service a nivel de la flota implica los siguientes usuarios y pasos:
- El administrador de la plataforma registra GKE Identity Service como una aplicación cliente con su proveedor de identidad preferido y obtiene un ID de cliente y un secreto. Para hacerlo, sigue las instrucciones en Configura proveedores de OIDC para GKE Identity Service.
- El administrador del clúster configura los clústeres para que usen el servicio. Para hacerlo, sigue las instrucciones en Configura clústeres para GKE Identity Service.
- El administrador del clúster configura el acceso de usuarios y, de forma opcional, configura el control de acceso basado en funciones (RBAC) de Kubernetes para los usuarios en los clústeres. Para hacerlo, sigue las instrucciones en Configura el acceso de usuarios a GKE Identity Service.