Memperkenalkan GKE Identity Service
GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda menghadirkan solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan GKE Enterprise. Pengguna dapat login dan menggunakan cluster GKE Anda dari command line atau dari Konsol Google Cloud, semuanya menggunakan penyedia identitas Anda yang sudah ada.
Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE, bukan penyedia OIDC atau LDAP, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.
Penyedia identitas yang didukung
GKE Identity Service mendukung penyedia identitas menggunakan protokol berikut:
- OpenID Connect (OIDC). Kami memberikan petunjuk khusus untuk penyiapan untuk beberapa penyedia OpenID populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia apa pun yang menerapkan OIDC.
- Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
- Security Assertion Markup Language (SAML). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan SAML.
Jenis cluster yang didukung
Protokol | GKE on VMware | GKE on Bare Metal | GKE on AWS | GKE on Azure | Cluster terlampir EKS | GKE |
---|---|---|---|---|---|---|
OIDC | ||||||
LDAP | ||||||
SAML |
Jenis cluster lain yang disertakan tidak didukung untuk digunakan dengan GKE Identity Service.
Cara kerjanya
GKE Identity Service memungkinkan pengguna login ke cluster yang dikonfigurasi menggunakan nama pengguna dan sandi organisasi yang biasa mereka gunakan. Cara kerjanya bergantung pada jenis penyedia identitas yang digunakan.
OIDC
Dengan penyedia OIDC, GKE Identity Service sendiri terdaftar sebagai aplikasi klien untuk penyedia identitas, lalu disiapkan untuk setiap cluster oleh administrator cluster.
Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login
terlebih dahulu, dan memasukkan detail loginnya untuk penyedia identitas. Tindakan ini akan mengambil token identitas dari penyedia. Token ditambahkan ke file kubeconfig
dan digunakan saat membuat permintaan dengan kubectl
ke cluster. Server Kubernetes API kemudian menggunakan GKE Identity Service untuk memvalidasi token ID dan mengizinkan (atau menolak) akses ke cluster. GKE Identity Service juga dapat mengambil informasi keanggotaan grup keamanan dari penyedia identitas secara opsional.
Administrator cluster dapat menambahkan kontrol akses yang lebih mendetail menggunakan Role-based access control (RBAC) Kubernetes jika diperlukan.
Pengguna juga dapat login dengan OIDC dari Konsol Google Cloud. Dalam hal ini, pengguna diarahkan ke UI penyedia identitas untuk memberikan detail login sebelum dikembalikan ke Konsol Google Cloud agar dapat terus melihat dan mengelola resource cluster.
LDAP
Dengan penyedia LDAP, GKE Identity Service akan disiapkan untuk setiap cluster oleh administrator cluster, termasuk memberikan kredensial klien LDAP untuk GKE Identity Service.
Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login
terlebih dahulu, dan memasukkan detail loginnya untuk penyedia identitas. Permintaan tersebut ditujukan ke GKE Identity Service, yang mengkueri server LDAP dan menampilkan atribut pengguna dalam token berumur singkat (STS), yang memastikan bahwa kredensial LDAP pengguna tidak perlu disimpan secara lokal dalam teks biasa. Token ditambahkan ke file kubeconfig
dan digunakan saat membuat permintaan dengan kubectl
ke cluster. Server Kubernetes API kemudian menggunakan GKE Identity Service untuk mendapatkan informasi pengguna dan grup dari token, dan mengizinkan (atau menolak) akses ke cluster. Secara default, token berlangsung selama satu jam sebelum pengguna harus login lagi.
Administrator cluster dapat menambahkan kontrol akses yang lebih mendetail menggunakan Role-based access control (RBAC) Kubernetes jika diperlukan.
Opsi penyiapan
Bergantung pada jenis dan lingkungan cluster, administrator cluster dapat menyiapkan GKE Identity Service di setiap cluster secara individual, atau pada level fleet project.
Penyiapan per cluster
Anda dapat menyiapkan GKE Identity Service berdasarkan cluster demi cluster untuk cluster GKE lokal (baik VMware maupun bare metal), di AWS, dan di Azure. Lihat panduan berikut untuk mengetahui detailnya:
Penyiapan OIDC
- Mengonfigurasi penyedia OIDC untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan OIDC
- Menyiapkan akses pengguna untuk GKE Identity Service
Penyiapan LDAP
- Mengonfigurasi penyedia LDAP untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan LDAP
- Menyiapkan akses pengguna untuk GKE Identity Service
Penyiapan SAML
- Mengonfigurasi penyedia SAML untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan SAML
- Menyiapkan akses pengguna untuk GKE Identity Service melalui proses autentikasi alternatif
Penyiapan tingkat perangkat
Feet di Google Cloud adalah grup cluster logis yang memungkinkan Anda mengaktifkan fungsi dan mengupdate konfigurasi di seluruh cluster tersebut. Untuk jenis cluster yang didukung, Anda dapat menyiapkan GKE Identity Service untuk cluster dalam fleet project Anda. Dengan penyiapan level fleet, Anda dapat menerapkan konfigurasi autentikasi secara terpusat ke beberapa cluster, yang konfigurasinya dikelola oleh Google Cloud.
Jenis cluster berikut didukung untuk penyiapan tingkat fleet:
- GKE di VMware, versi 1.8.2 atau yang lebih tinggi
- GKE pada Bare Metal, versi 1.8.3 atau yang lebih tinggi
- GKE di Azure
- GKE di AWS yang menjalankan Kubernetes 1.21 atau versi yang lebih tinggi
- Cluster GKE di Google Cloud dengan Layanan identitas untuk GKE diaktifkan
Lingkungan dan jenis cluster berikut didukung untuk penyiapan tingkat fleet sebagai fitur Pra-GA:
- cluster terlampir Amazon Elastic Kubernetes Service (Amazon EKS)
Lihat detail penyiapan berikut:
Apa langkah selanjutnya?
- Jika Anda adalah administrator platform atau administrator cluster dan ingin mengonfigurasi cluster untuk menggunakan GKE Identity Service, ikuti panduan penyiapan yang sesuai di atas.
- Jika Anda adalah developer atau pengguna cluster lain dan ingin mengakses cluster GKE menggunakan identitas Anda yang sudah ada, lihat Mengakses cluster menggunakan GKE Identity Service.