Memperkenalkan GKE Identity Service

GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda menghadirkan solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan GKE Enterprise. Pengguna dapat login dan menggunakan cluster GKE dari command line atau dari Google Cloud Console, semuanya menggunakan penyedia identitas Anda yang sudah ada.

Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE, bukan penyedia OIDC atau LDAP, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.

Penyedia identitas yang didukung

GKE Identity Service mendukung penyedia identitas menggunakan protokol berikut:

  • OpenID Connect (OIDC). Kami memberikan petunjuk khusus untuk penyiapan bagi beberapa penyedia OpenID populer, termasuk Microsoft, namun Anda dapat menggunakan penyedia apa pun yang menerapkan OIDC.
  • Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.

Jenis cluster yang didukung

Protocol GKE on VMware GKE on Bare Metal GKE on AWS GKE on Azure Cluster terlampir EKS GKE
OIDC
LDAP
SAML

Jenis cluster lain yang dilampirkan tidak didukung untuk digunakan dengan GKE Identity Service.

Cara kerja Duet AI

Dengan GKE Identity Service, pengguna dapat login ke cluster yang dikonfigurasi menggunakan nama pengguna dan sandi organisasi biasa mereka. Cara kerjanya bergantung pada jenis penyedia identitas yang digunakan.

OIDC

Dengan penyedia OIDC, GKE Identity Service sendiri didaftarkan sebagai aplikasi klien untuk penyedia identitas, lalu disiapkan untuk setiap cluster oleh administrator cluster.

Diagram yang menunjukkan alur AIS dasar

Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login terlebih dahulu, dan memasukkan detail loginnya untuk penyedia identitas. Tindakan ini akan mengambil token identitas dari penyedia. Token ditambahkan ke file kubeconfig dan digunakan saat membuat permintaan dengan kubectl ke cluster. Server Kubernetes API kemudian menggunakan GKE Identity Service untuk memvalidasi token ID dan mengizinkan (atau menolak) akses ke cluster. Secara opsional, GKE Identity Service juga dapat mengambil informasi keanggotaan grup keamanan dari penyedia identitas.

Administrator cluster dapat menambahkan kontrol akses yang lebih terperinci menggunakan Kubernetes role-based access control (RBAC) jika diperlukan.

Pengguna juga dapat login dengan OIDC dari Konsol Google Cloud. Dalam hal ini, mereka akan diarahkan ke UI penyedia identitas untuk memberikan detail login sebelum dikembalikan ke konsol Google Cloud untuk terus melihat dan mengelola resource cluster.

LDAP

Dengan penyedia LDAP, GKE Identity Service disiapkan untuk setiap cluster oleh administrator cluster, termasuk memberikan kredensial klien LDAP untuk GKE Identity Service.

Diagram yang menampilkan alur LDAP AIS

Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login terlebih dahulu, dan memasukkan detail loginnya untuk penyedia identitas. Permintaan ini ditujukan ke GKE Identity Service, yang mengkueri server LDAP dan menampilkan atribut pengguna dalam token berumur pendek (STS), yang memastikan bahwa kredensial LDAP pengguna tidak perlu disimpan secara lokal dalam teks biasa. Token ditambahkan ke file kubeconfig dan digunakan saat membuat permintaan dengan kubectl ke cluster. Kemudian, server Kubernetes API menggunakan GKE Identity Service untuk mendapatkan informasi pengguna dan grup dari token serta mengizinkan (atau menolak) akses ke cluster. Secara default, token berlaku selama satu jam sebelum pengguna harus login lagi.

Administrator cluster dapat menambahkan kontrol akses yang lebih terperinci menggunakan Kubernetes role-based access control (RBAC) jika diperlukan.

Opsi penyiapan

Bergantung pada jenis dan lingkungan cluster, administrator cluster dapat menyiapkan GKE Identity Service di setiap cluster satu per satu, atau di level armada project.

Penyiapan per cluster

Anda dapat menyiapkan GKE Identity Service pada setiap cluster untuk cluster GKE lokal (VMware maupun bare metal), di AWS, dan di Azure. Lihat panduan berikut untuk mengetahui detailnya:

Penyiapan OIDC

Penyiapan LDAP

Penyiapan SAML

Penyiapan tingkat armada

Armada di Google Cloud adalah grup cluster logis yang memungkinkan Anda mengaktifkan fungsi dan memperbarui konfigurasi di seluruh cluster tersebut. Untuk jenis cluster yang didukung, Anda dapat menyiapkan GKE Identity Service untuk cluster dalam fleet project Anda. Dengan penyiapan tingkat armada, Anda dapat menerapkan konfigurasi autentikasi secara terpusat ke beberapa cluster, yang konfigurasinya dikelola oleh Google Cloud.

Jenis cluster berikut didukung untuk penyiapan tingkat fleet:

Lingkungan dan jenis cluster berikut didukung untuk penyiapan tingkat perangkat sebagai fitur Pra-GA:

Lihat detail penyiapan berikut:

Apa langkah selanjutnya?

  • Jika Anda adalah administrator platform atau administrator cluster dan ingin mengonfigurasi cluster untuk menggunakan GKE Identity Service, ikuti panduan penyiapan yang sesuai di atas.
  • Jika Anda adalah developer atau pengguna cluster lain dan ingin mengakses cluster GKE menggunakan identitas Anda yang sudah ada, lihat Mengakses cluster menggunakan GKE Identity Service.