为舰队设置 GKE Identity Service

Google Cloud 中的舰队是 Kubernetes 集群及其他可共同管理的资源的逻辑组,通过将集群注册到 Google Cloud 而创建。GKE Identity Service 的舰队级设置以舰队的强大功能为基础,可让管理员使用其首选身份提供方一次为一个或多个 GKE 集群设置身份验证,其身份验证配置由 GKE Enterprise 维护并存储在 Google Cloud 中。

本指南介绍了如何在舰队级层为支持的集群类型和环境设置 GKE Identity Service。

本指南假定您已阅读 GKE Identity Service 概览,并且您已熟悉一些基本的舰队概念以及如何将集群注册到 Google Cloud。如果不熟悉,请参阅 舰队指南注册集群来了解详情。

前提条件

集群类型

舰队级设置支持以下集群类型和环境:

目前为非正式功能的舰队级设置支持以下集群类型和环境:

  • Amazon Elastic Kubernetes Service (Amazon EKS) 挂接的集群

您可以在关联的集群设置指南中了解如何注册关联的集群。

其他 GKE Identity Service 支持的集群类型和环境仍需要按集群设置

如果您使用的是早期版本的 GKE 集群,或者您需要舰队级生命周期管理尚不支持的 GKE Identity Service 功能,则也建议您使用按集群设置。

身份提供商类型

如果您配置舰队级 GKE Identity Service,则只能使用 OpenID Connect (OIDC) 身份提供方。

如果要使用 LDAP 身份提供方,请参阅使用 LDAP 设置 GKE Identity Service,了解如何按集群进行设置。

设置概览

在舰队级层设置 GKE Identity Service 涉及以下用户和步骤:

  1. 平台管理员向其首选身份提供方将 GKE Identity Service 注册为客户端应用,并获取客户端 ID 和密钥。为此,请按照为 GKE Identity Service 配置 OIDC 提供方中的说明操作。
  2. 集群管理员将集群配置为使用该服务。为此,请按照为 GKE Identity Service 配置集群中的说明操作。
  3. 集群管理员为集群上的用户设置用户访问权限,并视需要配置 Kubernetes 基于角色的访问权限控制 (RBAC)。为此,请按照为 GKE Identity Service 设置用户访问权限中的说明操作。