Memperkenalkan GKE Identity Service
GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda menghadirkan solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan GKE Enterprise. Pengguna dapat login dan menggunakan cluster GKE dari command line atau dari Google Cloud Console, semuanya menggunakan penyedia identitas Anda yang sudah ada.
Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE, bukan penyedia OIDC atau LDAP, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.
Penyedia identitas yang didukung
GKE Identity Service mendukung penyedia identitas menggunakan protokol berikut:
- OpenID Connect (OIDC). Kami memberikan petunjuk khusus untuk penyiapan bagi beberapa penyedia OpenID populer, termasuk Microsoft, namun Anda dapat menggunakan penyedia apa pun yang menerapkan OIDC.
- Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
- Security Assertion Markup Language (SAML). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan SAML.
Jenis cluster yang didukung
Protocol | GKE on VMware | GKE on Bare Metal | GKE on AWS | GKE on Azure | Cluster terlampir EKS | GKE |
---|---|---|---|---|---|---|
OIDC | ||||||
LDAP | ||||||
SAML |
Jenis cluster lain yang dilampirkan tidak didukung untuk digunakan dengan GKE Identity Service.
Cara kerja Duet AI
Dengan GKE Identity Service, pengguna dapat login ke cluster yang dikonfigurasi menggunakan nama pengguna dan sandi organisasi biasa mereka. Cara kerjanya bergantung pada jenis penyedia identitas yang digunakan.
OIDC
Dengan penyedia OIDC, GKE Identity Service sendiri didaftarkan sebagai aplikasi klien untuk penyedia identitas, lalu disiapkan untuk setiap cluster oleh administrator cluster.
Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login
terlebih dahulu, dan memasukkan detail loginnya untuk penyedia identitas. Tindakan ini akan mengambil token identitas dari penyedia. Token ditambahkan ke file kubeconfig
dan digunakan saat membuat permintaan dengan kubectl
ke cluster. Server Kubernetes API kemudian menggunakan GKE Identity Service untuk memvalidasi token ID dan mengizinkan (atau menolak) akses ke cluster. Secara opsional, GKE Identity Service juga dapat mengambil informasi keanggotaan grup keamanan dari penyedia identitas.
Administrator cluster dapat menambahkan kontrol akses yang lebih terperinci menggunakan Kubernetes role-based access control (RBAC) jika diperlukan.
Pengguna juga dapat login dengan OIDC dari Konsol Google Cloud. Dalam hal ini, mereka akan diarahkan ke UI penyedia identitas untuk memberikan detail login sebelum dikembalikan ke konsol Google Cloud untuk terus melihat dan mengelola resource cluster.
LDAP
Dengan penyedia LDAP, GKE Identity Service disiapkan untuk setiap cluster oleh administrator cluster, termasuk memberikan kredensial klien LDAP untuk GKE Identity Service.
Saat ingin login ke cluster dari command line, pengguna harus menjalankan perintah gcloud anthos auth login
terlebih dahulu, dan memasukkan detail loginnya untuk penyedia identitas. Permintaan ini ditujukan ke GKE Identity Service, yang mengkueri server LDAP dan menampilkan atribut pengguna dalam token berumur pendek (STS), yang memastikan bahwa kredensial LDAP pengguna tidak perlu disimpan secara lokal dalam teks biasa. Token ditambahkan ke file kubeconfig
dan digunakan saat membuat permintaan dengan kubectl
ke cluster. Kemudian, server Kubernetes API menggunakan GKE Identity Service untuk mendapatkan informasi pengguna dan grup dari token serta mengizinkan (atau menolak) akses ke cluster. Secara default, token berlaku selama satu jam sebelum pengguna harus login lagi.
Administrator cluster dapat menambahkan kontrol akses yang lebih terperinci menggunakan Kubernetes role-based access control (RBAC) jika diperlukan.
Opsi penyiapan
Bergantung pada jenis dan lingkungan cluster, administrator cluster dapat menyiapkan GKE Identity Service di setiap cluster satu per satu, atau di level armada project.
Penyiapan per cluster
Anda dapat menyiapkan GKE Identity Service pada setiap cluster untuk cluster GKE lokal (VMware maupun bare metal), di AWS, dan di Azure. Lihat panduan berikut untuk mengetahui detailnya:
Penyiapan OIDC
- Mengonfigurasi penyedia OIDC untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan OIDC
- Menyiapkan akses pengguna untuk GKE Identity Service
Penyiapan LDAP
- Mengonfigurasi penyedia LDAP untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan LDAP
- Menyiapkan akses pengguna untuk GKE Identity Service
Penyiapan SAML
- Mengonfigurasi penyedia SAML untuk GKE Identity Service
- Menyiapkan cluster untuk GKE Identity Service dengan SAML
- Menyiapkan akses pengguna untuk GKE Identity Service melalui proses autentikasi alternatif
Penyiapan tingkat armada
Armada di Google Cloud adalah grup cluster logis yang memungkinkan Anda mengaktifkan fungsi dan memperbarui konfigurasi di seluruh cluster tersebut. Untuk jenis cluster yang didukung, Anda dapat menyiapkan GKE Identity Service untuk cluster dalam fleet project Anda. Dengan penyiapan tingkat armada, Anda dapat menerapkan konfigurasi autentikasi secara terpusat ke beberapa cluster, yang konfigurasinya dikelola oleh Google Cloud.
Jenis cluster berikut didukung untuk penyiapan tingkat fleet:
- GKE di VMware, versi 1.8.2 atau yang lebih baru
- GKE di Bare Metal, versi 1.8.3 atau yang lebih baru
- GKE di Azure
- GKE di AWS yang menjalankan Kubernetes 1.21 atau versi yang lebih baru
- Cluster GKE di Google Cloud dengan Layanan identitas untuk GKE diaktifkan
Lingkungan dan jenis cluster berikut didukung untuk penyiapan tingkat perangkat sebagai fitur Pra-GA:
- Cluster terpasang di Amazon Elastic Kubernetes Service (Amazon EKS)
Lihat detail penyiapan berikut:
Apa langkah selanjutnya?
- Jika Anda adalah administrator platform atau administrator cluster dan ingin mengonfigurasi cluster untuk menggunakan GKE Identity Service, ikuti panduan penyiapan yang sesuai di atas.
- Jika Anda adalah developer atau pengguna cluster lain dan ingin mengakses cluster GKE menggunakan identitas Anda yang sudah ada, lihat Mengakses cluster menggunakan GKE Identity Service.