Google Distributed Cloud unterstützt OpenID Connect (OIDC) und Lightweight Directory Access Protocol (LDAP) als Authentifizierungsmechanismen für die Interaktion mit dem Kubernetes API-Server eines Clusters mithilfe von GKE Identity Service. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in Ihren Clustern verwenden können. Nutzer können sich über die Befehlszeile (alle Anbieter) oder die Google Cloud Console (nur OIDC) unter Verwendung Ihres vorhandenen Identitätsanbieters bei Clustern anmelden und diese verwenden.
GKE Identity Service funktioniert mit jeder Art von Bare-Metal-Cluster: Administrator-, Nutzer-, Hybrid- oder eigenständiger Cluster. Sie können sowohl lokale als auch öffentlich erreichbare Identitätsanbieter verwenden. Wenn Ihr Unternehmen z. B. einen ADFS-Server (Active Directory Federation Services) ausführt, kann dieser als Ihr OpenID-Anbieter dienen. Sie können auch öffentlich erreichbare Identitätsanbieterdienste wie Okta verwenden. Identitätsanbieterzertifikate können von einer bekannten öffentlichen Zertifizierungsstelle (Certificate Authority, CA) oder von einer privaten Zertifizierungsstelle ausgestellt werden.
aufgezeichnet.Eine Übersicht über die Funktionsweise von GKE Identity Service finden Sie unter Einführung in GKE Identity Service.
Wenn Sie Google-IDs bereits zur Anmeldung in Ihren GKE-Clustern anstelle eines OIDC- oder LDAP-Anbieters verwenden oder verwenden möchten, empfehlen wir die Verwendung des Connect-Gateways für die Authentifizierung. Weitere Informationen finden Sie unter Verbindung zu registrierten Clustern mit dem Connect-Gateway herstellen.
Hinweise
Bei einem browserbasierten Authentifizierungsvorgang werden die Nutzer zur Zustimmung aufgefordert, um ihr Nutzerkonto zu autorisieren. Monitorlose Systeme werden nicht unterstützt.
Zur Authentifizierung über die Google Cloud Console muss jeder Cluster, den Sie konfigurieren möchten, bei Ihrer Projektflotte registriert sein.
Einrichtungsprozess und -optionen
GKE Identity Service unterstützt Identitätsanbieter mit den folgenden Protokollen:
OpenID Connect (OIDC). Für einige bekannte OpenID-Anbieter, darunter Microsoft, werden spezifische Informationen zur Einrichtung bereitgestellt. Sie können aber auch einen beliebigen Anbieter verwenden, der OIDC implementiert.
Lightweight Directory Access Protocol (LDAP) Sie können GKE Identity Service verwenden, um sich mit LDAP bei Active Directory oder einem LDAP-Server zu authentifizieren.
OIDC
Registrieren Sie GKE Identity Service als Client bei Ihrem OIDC-Anbieter. Folgen Sie dazu der Anleitung unter Anbieter für GKE Identity Service konfigurieren.
Wählen Sie eine der folgenden Clusterkonfigurationsoptionen aus:
Konfigurieren Sie Ihre Cluster auf Flottenebene gemäß der Anleitung unter Cluster für GKE Identity Service auf Flottenebene konfigurieren (Vorschau, Google Distributed Cloud-Version 1.8 und höher). Bei dieser Option wird Ihre Authentifizierungskonfiguration zentral von Google Cloudverwaltet.
Konfigurieren Sie Ihre Cluster einzeln. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service mit OIDC konfigurieren. Da die Einrichtung auf Flottenebene eine Funktion in der Vorabversion ist, sollten Sie diese Option in Produktionsumgebungen verwenden, wenn Sie eine ältere Version von Google Distributed Cloud verwenden oder GKE Identity Service-Features benötigen, die noch nicht mit Lebenszyklusverwaltung auf Flottenebene unterstützt werden.
Richten Sie den Nutzerzugriff auf Ihre Cluster einschließlich rollenbasierter Zugriffssteuerung ein. Folgen Sie dazu der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten.
LDAP
Folgen Sie der Anleitung unter GKE Identity Service mit LDAP einrichten, um mit LDAP zu beginnen.
Auf Cluster zugreifen
Nachdem GKE Identity Service eingerichtet wurde, können sich Nutzer entweder über die Befehlszeile oder die Google Cloud Console bei konfigurierten Clustern anmelden.
Wie Sie sich mit Ihrer OIDC- oder LDAP-ID bei registrierten Clustern anmelden, erfahren Sie unter Mit GKE Identity Service auf Cluster zugreifen.
Informationen zur Anmeldung bei Clustern über die Google Cloud Console finden Sie unter Mit Clustern über dieGoogle Cloud Console arbeiten (nur OIDC).
Fehlerbehebung beim Anmeldevorgang
Zur Fehlerbehebung bei Anmeldeabläufen, bei denen die Authentifizierung direkt auf dem GKE Identity Service-Server mit einem vollständig qualifizierten Domainnamen (FQDN) erfolgt, können Sie das GKE Identity Service-Diagnosetool verwenden. Das Diagnosetool simuliert Anmeldevorgänge mit Ihrem OIDC-Anbieter, um Konfigurationsprobleme schnell zu erkennen. Für dieses Tool ist ein Cluster der Version 1.32 oder höher erforderlich und es wird nur OIDC unterstützt. Weitere Informationen finden Sie unter GKE Identity Service-Diagnoseprogramm.