Introduzione a GKE Identity Service
GKE Identity Service è un servizio di autenticazione che ti consente di utilizzare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti GKE Enterprise. Gli utenti possono accedere ai tuoi cluster GKE e utilizzarli dalla riga di comando o dalla console Google Cloud, il tutto utilizzando il tuo provider di identità esistente.
Se già utilizzi o vuoi utilizzare gli ID Google per accedere ai tuoi cluster GKE anziché a un provider OIDC o LDAP, consulta Connessione ai cluster registrati con il gateway Connect.
Provider di identità supportati
GKE Identity Service supporta i provider di identità che utilizzano i seguenti protocolli:
- OpenID Connect (OIDC). Forniamo istruzioni specifiche per la configurazione di alcuni provider OpenID più diffusi, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
- Lightweight Directory Access Protocol (LDAP). Puoi utilizzare GKE Identity Service per eseguire l'autenticazione mediante LDAP con Active Directory o un server LDAP.
- SAML (Security Assertion Markup Language). Puoi utilizzare GKE Identity Service per l'autenticazione mediante SAML.
Tipi di cluster supportati
Protocollo | GKE su VMware | GKE su Bare Metal | GKE su AWS | GKE su Azure | Cluster collegati a EKS | GKE |
---|---|---|---|---|---|---|
OIDC | ||||||
LDAP | ||||||
SAML |
Gli altri tipi di cluster collegati non sono supportati per l'utilizzo con GKE Identity Service.
Come funziona
GKE Identity Service consente agli utenti di accedere ai cluster configurati utilizzando i soliti nome utente e password dell'organizzazione. Il funzionamento esatto dipende dal tipo di provider di identità utilizzato.
OIDC
Con i provider OIDC, GKE Identity Service viene registrato come applicazione client per il provider di identità, quindi viene configurato per ogni cluster dall'amministratore del cluster.
Quando un utente vuole accedere a un cluster dalla riga di comando, deve prima eseguire un comando gcloud anthos auth login
e inserire i dati di accesso per il provider di identità. In questo modo recupera un token di identità dal provider. Il token viene aggiunto al relativo file kubeconfig
e viene utilizzato quando si effettuano richieste al cluster con kubectl
. Il server API Kubernetes utilizza quindi GKE Identity Service per convalidare il token ID e consentire (o negare) l'accesso al cluster. GKE Identity Service può anche recuperare le informazioni sull'appartenenza al gruppo di sicurezza dal provider di identità.
Se necessario, gli amministratori del cluster possono aggiungere controllo dell'accesso più granulare utilizzando il controllo controllo dell'accesso basato su ruoli (RBAC) di Kubernetes.
Gli utenti possono anche accedere con OIDC dalla console Google Cloud. In questo caso, vengono indirizzati all'interfaccia utente del provider di identità per fornire i propri dettagli di accesso prima di essere restituiti alla console Google Cloud per continuare a visualizzare e gestire le risorse del cluster.
LDAP
Con i provider LDAP, GKE Identity Service viene configurato per ogni cluster dall'amministratore del cluster, oltre a fornire le credenziali del client LDAP per GKE Identity Service.
Quando un utente vuole accedere a un cluster dalla riga di comando, deve prima eseguire un comando gcloud anthos auth login
e inserire i dati di accesso per il provider di identità. La richiesta va al servizio di identità GKE, che esegue una query sul server LDAP e restituisce gli attributi utente in un token di breve durata (STS), assicurando che le credenziali LDAP dell'utente non debbano essere archiviate localmente in testo non crittografato. Il token viene aggiunto al relativo file kubeconfig
e viene utilizzato quando si effettuano richieste al cluster con kubectl
. Il server API Kubernetes utilizza quindi GKE Identity Service per recuperare le informazioni relative a utenti e gruppi dal token e consentire (o negare) l'accesso al cluster. Per impostazione predefinita, il token dura un'ora prima che l'utente debba accedere di nuovo.
Se necessario, gli amministratori del cluster possono aggiungere controllo dell'accesso più granulare utilizzando il controllo controllo dell'accesso basato su ruoli (RBAC) di Kubernetes.
Opzioni di configurazione
A seconda del tipo di cluster e dell'ambiente, gli amministratori dei cluster possono configurare GKE Identity Service su ogni cluster individualmente o a livello del parco risorse di progetto.
Configurazione per cluster
Puoi configurare GKE Identity Service su cluster per cluster per i cluster GKE on-premise (sia VMware che bare metal), su AWS e su Azure. Per i dettagli, consulta le seguenti guide:
Configurazione OIDC
- Configura provider OIDC per GKE Identity Service
- Configura i cluster per GKE Identity Service con OIDC
- Configurare l'accesso degli utenti per GKE Identity Service
Configurazione LDAP
- Configurare i provider LDAP per GKE Identity Service
- Configura i cluster per GKE Identity Service con LDAP
- Configurare l'accesso degli utenti per GKE Identity Service
Configurazione SAML
- Configura provider SAML per GKE Identity Service
- Configura i cluster per GKE Identity Service con SAML
- Configura l'accesso degli utenti per GKE Identity Service tramite un processo di autenticazione alternativo
Configurazione a livello di parco risorse
Un parco risorse in Google Cloud è un gruppo logico di cluster che ti consente di abilitare le funzionalità e aggiornare la configurazione in questi cluster. Per i tipi di cluster supportati, puoi configurare GKE Identity Service per i cluster del parco risorse del tuo progetto. La configurazione a livello di parco risorse consente di applicare centralmente la configurazione dell'autenticazione a più cluster, dove la configurazione è mantenuta da Google Cloud.
Per la configurazione a livello di parco risorse sono supportati i seguenti tipi di cluster:
- GKE su VMware, versione 1.8.2 o successive
- GKE su Bare Metal, versione 1.8.3 o successive
- GKE su Azure
- GKE su AWS con Kubernetes 1.21 o versioni successive
- Cluster GKE su Google Cloud in cui è abilitato il servizio Identity per GKE
Il tipo di cluster e l'ambiente seguenti sono supportati per la configurazione a livello di parco risorse come funzionalità Pre-GA:
- Cluster collegati Amazon Elastic Kubernetes Service (Amazon EKS)
Consulta quanto segue per i dettagli di configurazione:
Che cosa succede dopo?
- Se sei un amministratore di piattaforma o un amministratore di cluster e vuoi configurare i cluster per l'utilizzo del servizio GKE Identity, segui le guide alla configurazione appropriate riportate sopra.
- Se sei uno sviluppatore o un altro utente del cluster e vuoi accedere ai cluster GKE utilizzando la tua identità esistente, consulta Accedere ai cluster con GKE Identity Service.