Configurar o GKE Identity Service em uma frota

Uma frota no Google Cloud é um grupo lógico de clusters do Kubernetes e outros recursos que podem ser gerenciados juntos, criados registrando clusters no Google Cloud. A configuração no nível da frota do GKE Identity Service se baseia na capacidade das frotas para permitir que os administradores configurem a autenticação com os provedores de identidade preferidos para um ou mais clusters do GKE de uma só vez, com a configuração de autenticação mantida pelo GKE Enterprise e armazenada no Google Cloud.

Neste guia, explicamos como configurar o GKE Identity Service no nível da frota para tipos de cluster e ambientes compatíveis.

Neste guia, presumimos que você tenha lido a Visão geral do GKE Identity Service e que já conheça alguns conceitos básicos da frota e com o registro de clusters no Google Cloud. Se não souber, saiba mais no Guia de frotas e em Como registrar um cluster.

Pré-requisitos

Tipos de cluster

Os seguintes tipos de cluster e ambientes são compatíveis com a configuração no nível da frota:

• GKE no VMware, versão 1.8.2 ou mais recente
• GKE em Bare Metal, versão 1.8.3 ou mais recente
• GKE no Azure
• GKE na AWS executando o Kubernetes 1.21 ou mais recente
• Clusters do GKE no Google Cloud com o Identity Service para GKE ativado. Siga as instruções em Serviço de identidade para o GKE para ativar o recurso antes de configurar a autenticação para o cluster.

O seguinte tipo de cluster e ambiente é compatível com a configuração no nível de frota que está atualmente na Pré-GA:

• Clusters anexados do Amazon Elastic Kubernetes Service (Amazon EKS)

Veja como registrar clusters anexados no guia de configuração de clusters anexados.

Outros tipos de cluster e ambientes compatíveis com o GKE Identity Service ainda exigem configuração por cluster.

Talvez você queira usar a configuração por cluster se estiver usando uma versão anterior dos clusters do GKE, caso precise de recursos do GKE Identity Service que ainda não são compatíveis com o gerenciamento do ciclo de vida no nível da frota.

Tipos de provedor de identidade

Se você configurar o GKE Identity Service no nível da frota, só poderá usar provedores de identidade do OpenID Connect (OIDC).

Para usar um provedor de identidade LDAP, saiba como configurar isso por cluster em Como configurar o GKE Identity Service com o LDAP.

Visão geral da configuração

A configuração do GKE Identity Service no nível da frota envolve os seguintes usuários e etapas:

1. O administrador da plataforma registra o GKE Identity Service como um aplicativo cliente com o provedor de identidade de sua preferência e recebe um ID e uma chave secreta do cliente. Para fazer isso, siga as instruções em Como configurar provedores OIDC do GKE Identity Service.
2. O administrador do cluster configura os clusters para usar o serviço. Para fazer isso, siga as instruções em Como configurar clusters do GKE Identity Service.
3. O administrador do cluster define o acesso do usuário e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes para usuários nos clusters. Para fazer isso, siga as instruções em Como configurar o acesso do usuário do GKE Identity Service.