Connect-Gateway mit Google Groups einrichten

Dieser Leitfaden richtet sich an Plattformadministratoren, die das Connect-Gateway einrichten müssen, damit Nutzerkonten ihres Projekts Google Groups zur Autorisierung verwenden können. Machen Sie sich vor dem Lesen dieses Leitfadens mit den Konzepten in unserer Übersicht vertraut. Informationen zum Autorisieren einzelner Konten finden Sie unter Standardeinrichtung.

Bei dieser Einrichtung können sich Nutzer über die Google Cloud CLI, das Connect-Gateway und die Google Cloud Console in konfigurierten Flottenclustern anmelden.

Diese Funktion verwendet Google-Gruppen, die mit Google Workspace oder einer beliebigen Version von Cloud Identity verknüpft sind.

Unterstützte Clustertypen

Wenn Sie GKE-Cluster mit dem Connect Gateway verwenden, müssen Sie nicht die gesamte Einrichtung mit GKE Identity Service ausführen, um Google Groups für die Autorisierung zu verwenden. Folgen Sie stattdessen der Anleitung unter Google Groups for RBAC konfigurieren. So können sich Nutzer auch über die Google Cloud Console mit Google Groups für die Zugriffssteuerung bei GKE-Clustern anmelden. Folgen Sie anschließend der Anleitung unter IAM-Rollen für Google Groups zuweisen, damit Gruppenmitglieder über das Connect-Gateway auf Cluster zugreifen können.

Sie können die Zugriffssteuerung mit Google Groups über das Connect-Gateway für registrierte GKE-Cluster, GKE on VMware und Google Distributed Cloud Virtual for Bare Metal ab GKE Enterprise 1.13 und für GKE on AWS und GKE on Azure ab Kubernetes Version 1.25 einrichten. Wenn Sie lokale Cluster zur Verwendung dieses Features aktualisieren müssen, finden Sie weitere Informationen unter GKE Enterprise-Cluster für VMWare aktualisieren und GKE Enterprise-Cluster auf Bare-Metal aktualisieren.

Wenn Sie dieses Feature mit angehängten Clustern oder GKE-Clusterumgebungen außer den oben aufgeführten verwenden möchten, wenden Sie sich bitte an Cloud Customer Care oder das Connect-Gateway-Team.

Funktionsweise

Wie in der Übersicht beschrieben, ist es oft nützlich, Nutzern Zugriff auf Cluster basierend auf ihrer Mitgliedschaft in Google Groups zu gewähren, d. h. Gruppen, die im Google Workspace erstellt wurden. Bei einer Autorisierung, die auf der Gruppenmitgliedschaft basiert, müssen Sie nicht für jedes Konto eine separate Autorisierung einrichten. Dies erleichtert die Verwaltung und Überprüfung von Richtlinien. Sie können beispielsweise problemlos den Clusterzugriff für ein Team freigeben, sodass Sie einzelne Nutzer nicht manuell zu Clustern hinzufügen oder daraus entfernen müssen, wenn diese dem Team beitreten oder es verlassen möchten. Durch einige zusätzliche Einrichtungsschritte mit dem GKE Identity Service können Sie das Connect-Gateway so konfigurieren, dass die Google Groups-Mitgliedschaftsinformationen für jeden Nutzer abgerufen werden, der sich im Cluster anmeldet. Diese Gruppeninformationen können Sie dann in Ihren Richtlinien für die Zugriffssteuerung verwenden.

Im Folgenden wird der typische Ablauf für einen Nutzer dargestellt, der sich bei einem Cluster authentifiziert und Befehle für den Cluster ausführt, wobei dieser Dienst aktiviert ist: Damit dieser Ablauf erfolgreich ist, muss im Cluster eine RBAC-Richtlinie für eine Gruppe vorhanden sein, die:

  1. Enthält den Nutzer alice@example.com als Mitglied.

  2. Ist eine verschachtelte Gruppe von gke-security-groups@example.com.

Grafik: Ablauf im Google Groups-Gateway

  1. Der Nutzer alice@example.com meldet sich mit seiner Google-Identität an und erhält, wenn er den Cluster über die Befehlszeile verwenden möchte, das Cluster-Gateway kubeconfig, wie unter Connect-Gateway verwenden beschrieben.
  2. Der Nutzer sendet eine Anfrage, indem er einen kubectl-Befehl ausführt oder die Google Kubernetes Engine-Seiten Arbeitslasten oder Objektbrowser in der Google Cloud Console öffnet.
  3. Die Anfrage wird vom Connect-Dienst empfangen, der eine Autorisierungsprüfung mit IAM durchführt.
  4. Der Connect-Dienst leitet die Anfrage an den auf dem Cluster ausgeführten Connect Agent weiter. Die Anfrage wird zusammen mit den Anmeldedaten des Nutzers zur Authentifizierung und Autorisierung im Cluster bereitgestellt.
  5. Der Connect Agent leitet die Anfrage an den Kubernetes API-Server weiter.
  6. Der Kubernetes API-Server leitet die Anfrage an GKE Identity Service weiter, der die Anfrage validiert.
  7. GKE Identity Service gibt die Nutzer- und Gruppeninformationen an den Kubernetes API-Server zurück. Der Kubernetes API-Server kann diese Informationen dann dazu verwenden, die Anfrage basierend auf den konfigurierten RBAC-Richtlinien des Clusters zu autorisieren.

Hinweis

  • Prüfen Sie, ob die folgenden Befehlszeilentools installiert sind:

    • Die neueste Version von Google Cloud CLI, dem Befehlszeilentool für die Interaktion mit Google Cloud.
    • Das Kubernetes-Befehlszeilentool kubectl für die Interaktion mit Ihren Clustern.

    Wenn Sie Cloud Shell als Shell-Umgebung für die Interaktion mit Google Cloud verwenden, sind diese Tools für Sie installiert.

  • Achten Sie darauf, dass die gcloud CLI für die Verwendung mit Ihrem Projekt initialisiert wurde.

  • In dieser Anleitung wird davon ausgegangen, dass sich roles/owner in Ihrem Projekt befindet. Wenn Sie kein Projektinhaber sind, benötigen Sie möglicherweise zusätzliche Berechtigungen, um einige Einrichtungsschritte auszuführen.

  • Bei Clustern außerhalb von Google Cloud muss GKE Identity Service die Google Identity API aus Ihrem Cluster aufrufen. Prüfen Sie, ob Ihre Netzwerkrichtlinie ausgehenden Traffic über einen Proxy erfordert.

Nutzer und Gruppen einrichten

Achten Sie darauf, dass die Gruppen, die Sie mit diesem Feature verwenden möchten, so eingerichtet sind:

  1. Prüfen Sie, ob in der Google Workspace Ihrer Organisation eine Gruppe im Format gke-security-groups@YOUR-DOMAIN vorhanden ist. Wenn Sie keine solche Gruppe haben, folgen Sie der Anleitung unter Gruppe in Ihrer Organisation erstellen, um die Gruppe über die Google Workspace-Admin-Konsole zu erstellen.
  2. Folgen Sie der Anleitung unter Einer Gruppe eine andere Gruppe hinzufügen, um die gewünschten Gruppen für die Zugriffssteuerung als verschachtelte Gruppen in „gke-security-groups“ hinzuzufügen. Fügen Sie einzelne Nutzer nicht als Mitglieder von gke-security-groups hinzu.

Nutzerkonten, die Sie mit dieser Funktion verwenden möchten, müssen den gleichen Domainnamen wie ihre Gruppe verwenden.

APIs aktivieren

Aktivieren Sie die Connect Gateway API und die erforderlichen Abhängigkeits-APIs, um das Gateway Ihrem Projekt hinzuzufügen. Wenn sich Ihre Nutzer nur über die Google Cloud Console bei Clustern authentifizieren möchten, müssen Sie connectgateway.googleapis.com nicht aktivieren. Die verbleibenden APIs müssen jedoch aktiviert werden.

PROJECT_ID=example_project
gcloud services enable --project=${PROJECT_ID}  \
connectgateway.googleapis.com \
anthos.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
cloudresourcemanager.googleapis.com

GKE Identity Service einrichten

Das Google Groups-Feature des Connect Gateways verwendet GKE Identity Service, um Informationen zur Gruppenmitgliedschaft von Google abzurufen. Weitere Informationen zu GKE Identity Service finden Sie unter Einführung in GKE Identity Service.

Wenn Sie GKE-Cluster mit dem Gateway nutzen, müssen Sie GKE Identity Service nicht für die Verwendung der Google Groups-Zugriffssteuerung einrichten. Folgen Sie stattdessen der Anleitung unter Google Groups for RBAC konfigurieren und fahren Sie dann mit IAM-Rollen für Google Groups zuweisen fort, damit Gruppenmitglieder über das Connect-Gateway auf Cluster zugreifen können.

Installation von GKE Identity Service prüfen

GKE Identity Service ist standardmäßig ab Version 1.7 auf GKE-Clustern installiert. Für die Google Groups-Funktion ist jedoch Version 1.13 oder höher erforderlich. Mit dem folgenden Befehl können Sie prüfen, ob der Dienst korrekt auf Ihrem Cluster installiert ist:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get all -n anthos-identity-service

Wobei Folgendes gilt:

Dabei ist USER_CLUSTER_KUBECONFIG der Pfad der kubeconfig-Datei für den Cluster.

Google Groups-Support konfigurieren

Wenn Sie GKE on AWS oder GKE on Azure verwenden, wird Ihr Cluster automatisch für die Unterstützung von Google Groups konfiguriert. Sie können dann mit Google Groups IAM-Rollen zuweisen fortfahren.

Wenn Sie GKE on Bare Metal oder GKE on VMware verwenden, wird durch die Einrichtung von GKE Identity Service bestimmt, wie Sie das Google Groups-Feature konfigurieren müssen.

Wenn Sie GKE Identity Service zum ersten Mal verwenden, können Sie Google Groups auf der Flottenebene (empfohlen) oder der clusterspezifischen Einrichtung konfigurieren.

Wenn Sie GKE Identity Service noch nicht zum ersten Mal verwenden, beachten Sie Folgendes:

Flotte

Sie können die Google Cloud Console oder die Befehlszeile verwenden, um den Zugriff auf Google-Gruppen auf Flottenebene zu konfigurieren.

Wenn Sie den GKE-Identitätsdienst auf Flottenebene bereits mit einem anderen Identitätsanbieter (z. B. Microsoft AD FS oder Okta) konfiguriert haben, ist die Funktion Connect gateway Google Groups auf konfigurierten Clustern bereits standardmäßig für Sie aktiviert, vorausgesetzt, der Google-Identitätsanbieter ist ohne die Verwendung eines Proxys erreichbar.

Console

Wenn Sie GKE Identity Service noch nicht für eine Flotte eingerichtet haben, folgen Sie der Anleitung unter Cluster für GKE Identity Service konfigurieren.

Cluster auswählen und Konfiguration aktualisieren

  1. Rufen Sie in der Google Cloud Console die GKE Enterprise-Seite Features auf.

    Zu GKE Enterprise-Features

  2. Klicken Sie in der Tabelle Produkte in der Zeile Identity Service auf Details. Die Clusterdetails Ihres Projekts werden angezeigt.

  3. Klicken Sie auf Identitätsdienst aktualisieren, um den Einrichtungsbereich zu öffnen.

  4. Wählen Sie die Cluster aus, die Sie konfigurieren möchten. Sie können einzelne Cluster auswählen oder festlegen, dass alle Cluster mit derselben Identitätskonfiguration konfiguriert werden sollen.

  5. Im Abschnitt Identitätsanbieter konfigurieren können Sie einen Identitätsanbieter beibehalten, hinzufügen, aktualisieren oder entfernen.

  6. Klicken Sie auf Weiter, um mit dem nächsten Konfigurationsschritt fortzufahren. Wenn Sie mindestens einen zulässigen Cluster für diese Einrichtung ausgewählt haben, wird der Abschnitt Google-Authentifizierung angezeigt.

  7. Wählen Sie Aktivieren aus, um die Google-Authentifizierung für die ausgewählten Cluster zu aktivieren. Wenn Sie über einen Proxy auf den Google-Identitätsanbieter zugreifen müssen, geben Sie die Proxydetails ein.

  8. Klicken Sie auf Konfiguration aktualisieren. Dadurch wird die Identitätskonfiguration auf die ausgewählten Cluster angewendet.

gcloud

Wenn Sie GKE Identity Service noch nicht für eine Flotte eingerichtet haben, folgen Sie der Anleitung unter Cluster für GKE Identity Service konfigurieren. Geben Sie in der Datei auth-config.yaml nur die folgende Konfiguration an:

spec:
  authentication:
  - name: google-authentication-method
    google:
      disable: false

Google Groups-Zugriff über einen Proxy konfigurieren

Wenn Sie über einen Proxy auf den Google-Identitätsanbieter zugreifen müssen, verwenden Sie das Feld proxy in Ihrer auth-config.yaml-Datei. Diese Angabe ist möglicherweise erforderlich, wenn sich der Cluster beispielsweise in einem privaten Netzwerk befindet und eine Verbindung zu einem öffentlichen Identitätsanbieter hergestellt werden muss. Sie müssen diese Konfiguration auch dann hinzufügen, wenn Sie GKE Identity Service bereits für einen anderen Anbieter konfiguriert haben.

So konfigurieren Sie proxy, indem Sie den Abschnitt authentication der vorhandenen Konfigurationsdatei auth-config.yaml aktualisieren:

  spec:
    authentication:
    - name: google-authentication-method
      google:
        disable: false
      proxy: PROXY_URL

Wobei Folgendes gilt:

  • disable (optional) gibt an, ob Sie die Google Groups-Funktion für Cluster aktivieren oder deaktivieren möchten. Dieser Wert ist standardmäßig auf false gesetzt. Wenn Sie diese Funktion deaktivieren möchten, setzen Sie sie auf true.

  • PROXY_URL (optional) ist die Adresse des Proxyservers, mit der eine Verbindung zur Google-Identität hergestellt werden soll. Beispiel: http://user:password@10.10.10.10:8888

Wenden Sie die Konfiguration an

Führen Sie folgenden Befehl aus, um die Konfiguration auf einen Cluster anzuwenden:

gcloud container fleet identity-service apply \
--membership=CLUSTER_NAME \
--config=/path/to/auth-config.yaml

Wobei Folgendes gilt:

CLUSTER_NAME ist der eindeutige Mitgliedschaftsname Ihres Clusters innerhalb der Flotte.

Nach der Anwendung wird diese Konfiguration vom GKE Identity Service-Controller verwaltet. Alle lokalen Änderungen, die an der Clientkonfiguration von GKE Identity Service vorgenommen werden, werden vom Controller wieder auf die Konfiguration umgestellt, die in diesem Setup festgelegt wurde.

Pro Cluster

Wenn Sie Ihren Cluster für die Verwendung von GKE Identity Service mit dem Google Groups-Feature konfigurieren möchten, müssen Sie den GKE Identity Service ClientConfig des Clusters aktualisieren. Dies ist ein benutzerdefinierter Kubernetes-Ressourcentyp (CRD), der für die Clusterkonfiguration verwendet wird. Jeder GKE Enterprise-Cluster hat eine ClientConfig-Ressource namens default im Namespace kube-public, die Sie mit Ihren Konfigurationsdetails aktualisieren.

Verwenden Sie den folgenden Befehl, um die Konfiguration zu bearbeiten.

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG -n kube-public edit clientconfig default

Dabei ist USER_CLUSTER_KUBECONFIG der Pfad zur kubeconfig-Datei Ihres Clusters.

Wenn die kubeconfig mehrere Kontexte enthält, wird der aktuelle Kontext verwendet. Möglicherweise müssen Sie den aktuellen Kontext auf den richtigen Cluster zurücksetzen, bevor Sie den Befehl ausführen.

Im Folgenden finden Sie ein Beispiel dafür, wie Sie ClientConfig mit einer neuen Authentifizierungsmethode mit der Konfiguration vom Typ google aktualisieren können, um die Google Groups-Funktion zu aktivieren. Wenn das Feld internalServer leer ist, achten Sie darauf, dass es auf https://kubernetes.default.svc gesetzt ist, wie unten gezeigt.

spec:
  authentication:
  - google:
      audiences:
      - "CLUSTER_IDENTIFIER"
    name: google-authentication-method
    proxy: PROXY_URL
  internalServer: https://kubernetes.default.svc

Wobei Folgendes gilt:

CLUSTER_IDENTIFIER (erforderlich): Gibt die Mitgliedschaftsdetails des Clusters an. Sie können die Mitgliedschaftsdetails Ihres Clusters mit dem folgenden Befehl abrufen:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get memberships membership -o yaml

Wobei Folgendes gilt:

Dabei ist USER_CLUSTER_KUBECONFIG der Pfad der kubeconfig-Datei für den Cluster. Lesen Sie in der Antwort das Feld spec.owner.id, um die Mitgliedschaftsdetails des Clusters abzurufen.

Hier sehen Sie eine Beispielantwort mit den Mitgliedschaftsdetails eines Clusters:

id: //gkehub.googleapis.com/projects/123456789/locations/global/memberships/xy-ab12cd34ef

Dies entspricht dem folgenden Format: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/MEMBERSHIP

IAM-Rollen für Google Groups zuweisen

Gruppen benötigen die folgenden zusätzlichen Google Cloud-Rollen, um über das Gateway mit verbundenen Clustern zu interagieren:

  • roles/gkehub.gatewayAdmin: Mit dieser Rolle können Gruppenmitglieder auf die Connect Gateway API zugreifen.
    • Wenn Gruppenmitglieder nur Lesezugriff auf verbundenen Clustern benötigen, kann stattdessen roles/gkehub.gatewayReader verwendet werden.
    • Wenn Gruppenmitglieder Lese-/Schreibzugriff auf verbundenen Clustern benötigen, kann stattdessen roles/gkehub.gatewayEditor verwendet werden.
  • roles/gkehub.viewer: Mit dieser Rolle können Gruppenmitglieder registrierte Clustermitgliedschaften ansehen.

Sie weisen diese Rollen mit dem Befehl gcloud projects add-iam-policy-binding so zu:

gcloud projects add-iam-policy-binding --member=group:GROUP_NAME@DOMAIN --role=GATEWAY_ROLE PROJECT_ID
gcloud projects add-iam-policy-binding --member=group:GROUP_NAME@DOMAIN --role=roles/gkehub.viewer PROJECT_ID

Wobei Folgendes gilt:

  • GROUP_NAME ist die Google-Gruppe, der Sie die Rolle zuweisen möchten.
  • DOMAIN ist Ihre Google Workspace-Domain.
  • GROUP_NAME@DOMAIN ist eine verschachtelte Gruppe unter gke-security-groups@DOMAIN
  • GATEWAY_ROLE ist wahlweise roles/gkehub.gatewayAdmin, roles/gkehub.gatewayReader oder gkehub.gatewayEditor.
  • PROJECT_ID ist Ihr Projekt.

Weitere Informationen zum Erteilen von IAM-Berechtigungen und -Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Richtlinien für die rollenbasierte Zugriffssteuerung (RBAC) konfigurieren

Schließlich muss der Kubernetes API-Server jedes Clusters in der Lage sein, kubectl-Befehle zu autorisieren, die über das Gateway Ihrer angegebenen Gruppen eingehen. Für jeden Cluster müssen Sie eine RBAC-Berechtigungsrichtlinie hinzufügen, die angibt, welche Berechtigungen die Gruppe für den Cluster hat.

Im folgenden Beispiel erfahren Sie, wie Sie Mitgliedern der cluster-admin-team-Gruppe die cluster-admin-Berechtigungen für den Cluster erteilen, die Richtliniendatei unter /tmp/admin-permission.yaml speichern und auf den Cluster anwenden, der den aktuellen Kontext prüfen. Achten Sie darauf, auch die Gruppe cluster-admin-team unter der Gruppe gke-security-groups hinzuzufügen.

cat <<EOF > /tmp/admin-permission.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin-group
subjects:
- kind: Group
  name: cluster-admin-team@example.com
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
EOF
# Apply permission policy to the cluster.
kubectl apply --kubeconfig=KUBECONFIG_PATH -f /tmp/admin-permission.yaml

Weitere Informationen zum Angeben von RBAC-Berechtigungen finden Sie unter RBAC-Autorisierung verwenden.

Nächste Schritte