Configura GKE Identity Service para una flota

Una flota en Google Cloud es un grupo lógico de clústeres de Kubernetes y otros recursos que se pueden administrar juntos y que se crean mediante el registro de clústeres en Google Cloud. La configuración de nivel de flota para GKE Identity Service se basa en la potencia de las flotas a fin de permitir que los administradores configuren la autenticación con sus proveedores de identidad preferidos para uno o más clústeres de GKE a la vez, con la configuración de autenticación mantenida por GKE Enterprise y almacenada en Google Cloud.

En esta guía, se explica cómo configurar GKE Identity Service a nivel de flota para tipos y entornos de clúster compatibles.

En esta guía, se da por sentado que leíste una descripción general de GKE Identity Service y que ya estás familiarizado con algunos conceptos básicos de la flota y con el registro de clústeres en Google Cloud. De lo contrario, puedes obtener más información en la guía de flotas y en Registra un clúster.

Requisitos previos

Tipos de clústeres

Los siguientes entornos y tipos de clúster son compatibles con la configuración a nivel de flota:

• GKE en VMware, versión 1.8.2 o posterior
• GKE on Bare Metal, versión 1.8.3 o posterior
• GKE en Azure
• GKE en AWS que ejecuta Kubernetes 1.21 o una versión posterior
• Clústeres de GKE en Google Cloud con el servicio de identidad para GKE habilitado. Sigue las instrucciones en el servicio de identidad para GKE a fin de habilitar la función antes de configurar la autenticación para el clúster.

El siguiente entorno y tipo de clúster son compatibles con la configuración a nivel de flota que, por el momento, se encuentra en antes de disponibilidad general:

• Clústeres conectados de Amazon Elastic Kubernetes Service (Amazon EKS)

Puedes averiguar cómo registrar los clústeres conectados en la guía de configuración de clústeres conectados.

Otros entornos y tipos de clústeres compatibles con GKE Identity Service aún requieren configuración por clúster.

Es posible que también quieras usar la configuración por clúster si usas una versión anterior de los clústeres de GKE, si necesitas funciones de GKE Identity Service que aún no son compatibles con la administración del ciclo de vida a nivel de la flota.

Tipos de proveedores de identidad

Si configuras GKE Identity Service a nivel de la flota, solo puedes usar proveedores de identidad de OpenID Connect (OIDC).

Si deseas usar un proveedor de identidad LDAP, puedes averiguar cómo configurarlo por clúster en Configura GKE Identity Service con LDAP.

Descripción general de la configuración

La configuración de GKE Identity Service a nivel de la flota implica los siguientes usuarios y pasos:

1. El administrador de la plataforma registra GKE Identity Service como una aplicación cliente con su proveedor de identidad preferido y obtiene un ID de cliente y un secreto. Para hacerlo, sigue las instrucciones en Configura proveedores de OIDC para GKE Identity Service.
2. El administrador del clúster configura los clústeres para que usen el servicio. Para hacerlo, sigue las instrucciones en Configura clústeres para GKE Identity Service.
3. El administrador del clúster configura el acceso de usuarios y, de forma opcional, configura el control de acceso basado en funciones (RBAC) de Kubernetes para los usuarios en los clústeres. Para hacerlo, sigue las instrucciones en Configura el acceso de usuarios a GKE Identity Service.