Presentación de GKE Identity Service

GKE Identity Service es un servicio de autenticación que te permite trasladar tus soluciones de identidad existentes para la autenticación a múltiples entornos de GKE Enterprise. Los usuarios pueden acceder a tus clústeres de GKE y usarlos desde la línea de comandos o desde la consola de Google Cloud, todo con tu proveedor de identidad existente.

Si ya usas o quieres usar los IDs de Google para acceder a los clústeres de GKE en lugar de a un proveedor de OIDC o LDAP, consulta Conéctate a clústeres registrados con la puerta de enlace de Connect.

Proveedores de identidad compatibles

GKE Identity Service admite proveedores de identidad que usen los siguientes protocolos:

  • OpenID Connect (OIDC). Proporcionamos instrucciones específicas para la configuración de algunos proveedores de OpenID populares, incluido Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
  • Protocolo ligero de acceso a directorios (LDAP). Puedes usar GKE Identity Service para autenticar mediante LDAP con Active Directory o un servidor de LDAP.

Tipos de clústeres compatibles

Protocolo GKE en VMware GKE en Bare Metal GKE en AWS GKE en Azure Clústeres adjuntos de EKS GKE
OIDC
LDAP
SAML

No se admiten otros tipos de clústeres conectados para su uso con GKE Identity Service.

Cómo funciona

GKE Identity Service permite que los usuarios accedan a clústeres configurados con el nombre de usuario y la contraseña habituales de la organización. El funcionamiento exacto de este servicio dependerá del tipo de proveedor de identidad que se utilice.

OIDC

Con los proveedores de OIDC, GKE Identity Service se registra como una aplicación cliente para el proveedor de identidad y, luego, el administrador de clústeres lo configura para cada clúster.

Diagrama que muestra el flujo AIS básico

Cuando un usuario desea acceder a un clúster desde la línea de comandos, primero debe ejecutar un comando gcloud anthos auth login y, luego, ingresar los detalles de acceso para el proveedor de identidad. Esto recupera un token de identidad del proveedor. El token se agrega a su archivo kubeconfig y se usa cuando se realizan solicitudes con kubectl al clúster. Luego, el servidor de la API de Kubernetes usa GKE Identity Service para validar el token de ID y permitir (o rechazar) el acceso al clúster. GKE Identity Service también puede recuperar, de manera opcional, información sobre la pertenencia a grupos de seguridad del proveedor de identidad.

Si es necesario, los administradores de clústeres pueden agregar un control de acceso más detallado mediante el control de acceso basado en funciones (RBAC) de Kubernetes.

Los usuarios también pueden acceder con OIDC desde la consola de Google Cloud. En este caso, se los dirige a la IU del proveedor de identidad para que proporcionen sus detalles de acceso antes de que regresen a la consola de Google Cloud para continuar viendo y administrando los recursos del clúster.

LDAP

Con los proveedores de LDAP, el administrador de clústeres configura GKE Identity Service para cada clúster, lo que incluye proporcionar credenciales de cliente de LDAP para GKE Identity Service.

Diagrama que muestra el flujo de LDAP AIS

Cuando un usuario desea acceder a un clúster desde la línea de comandos, primero debe ejecutar un comando gcloud anthos auth login y, luego, ingresar los detalles de acceso para el proveedor de identidad. La solicitud se dirige al servicio de identidad de GKE, que consulta el servidor LDAP y muestra los atributos del usuario en un token de corta duración (STS), lo que garantiza que las credenciales LDAP del usuario no necesiten almacenarse de forma local en texto simple. El token se agrega a su archivo kubeconfig y se usa cuando se realizan solicitudes con kubectl al clúster. Luego, el servidor de la API de Kubernetes usa GKE Identity Service para obtener la información de usuarios y grupos del token y permitir (o denegar) el acceso al clúster. De forma predeterminada, el token dura una hora antes de que el usuario deba acceder nuevamente.

Si es necesario, los administradores de clústeres pueden agregar un control de acceso más detallado mediante el control de acceso basado en funciones (RBAC) de Kubernetes.

Opciones de configuración

Según el tipo de clúster y el entorno, los administradores de clústeres pueden configurar GKE Identity Service en cada clúster de forma individual o a nivel de la flota del proyecto.

Configuración por clúster

Puedes configurar GKE Identity Service en un clúster por clúster para los clústeres de GKE locales (tanto VMware como Bare Metal), en AWS y en Azure. Consulta las siguientes guías para obtener más detalles:

Configuración de OIDC

Configuración de LDAP

Configuración de SAML

Configuración a nivel de la flota

Una flota en Google Cloud es un grupo lógico de clústeres que te permite habilitar la funcionalidad y actualizar la configuración entre esos clústeres. Para los tipos de clústeres compatibles, puedes configurar GKE Identity Service para los clústeres de la flota de tu proyecto. La configuración a nivel de la flota te permite aplicar de forma centralizada la configuración de autenticación a varios clústeres, en los que Google Cloud mantiene la configuración.

Los siguientes tipos de clústeres son compatibles con la configuración a nivel de la flota:

El siguiente tipo de clúster y entorno es compatible con la configuración a nivel de flota como una función de fase previa a la disponibilidad general:

Consulta los siguientes vínculos para ver los detalles de la configuración:

Próximos pasos

  • Si eres administrador de la plataforma o administrador de clústeres y deseas configurar los clústeres para que usen GKE Identity Service, sigue las guías de configuración adecuadas que se mencionaron anteriormente.
  • Si eres desarrollador o algún otro usuario de un clúster y quieres acceder a clústeres de GKE con tu identidad existente, consulta Accede a clústeres con GKE Identity Service.