Identität mit GKE Identity Service verwalten

Die Google Distributed Cloud unterstützt OpenID Connect (OIDC) und Lightweight Directory Access Protocol (LDAP) als Authentifizierungsmechanismen für die Interaktion mit dem Kubernetes API-Server eines Clusters mithilfe von GKE Identity Service. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren GKE Enterprise-Umgebungen verwenden können. Nutzer können sich über die Befehlszeile (alle Anbieter) oder die Google Cloud Console (nur OIDC) unter Verwendung Ihres vorhandenen Identitätsanbieters bei Ihren GKE-Clustern anmelden und diese verwenden.

GKE Identity Service funktioniert mit jeder Art von Bare-Metal-Cluster: Administrator-, Nutzer-, Hybrid- oder eigenständiger Cluster. Sie können sowohl lokale als auch öffentlich erreichbare Identitätsanbieter verwenden. Wenn Ihr Unternehmen z. B. einen ADFS-Server (Active Directory Federation Services) ausführt, kann dieser als Ihr OpenID-Anbieter dienen. Sie können auch öffentlich erreichbare Identitätsanbieterdienste wie Okta verwenden. Identitätsanbieterzertifikate können von einer bekannten öffentlichen Zertifizierungsstelle (Certificate Authority, CA) oder von einer privaten Zertifizierungsstelle ausgestellt werden.

Eine Übersicht über die Funktionsweise von GKE Identity Service finden Sie unter Einführung in GKE Identity Service.

Wenn Sie Google-IDs bereits zur Anmeldung in Ihren GKE-Clustern anstelle eines OIDC- oder LDAP-Anbieters verwenden oder verwenden möchten, empfehlen wir die Verwendung des Connect-Gateways für die Authentifizierung. Weitere Informationen finden Sie unter Verbindung zu registrierten Clustern mit dem Connect-Gateway herstellen.

Hinweise

  • Beachten Sie, dass monitorlose Systeme nicht unterstützt werden. Bei einem browserbasierten Authentifizierungsvorgang werden die Nutzer zur Zustimmung aufgefordert, um ihr Nutzerkonto zu autorisieren.

  • Zur Authentifizierung über die Google Cloud Console muss jeder Cluster, den Sie konfigurieren möchten, bei Ihrer Projektflotte registriert sein.

Einrichtungsprozess und -optionen

GKE Identity Service unterstützt Identitätsanbieter mit den folgenden Protokollen:

  • OpenID Connect (OIDC). Für einige bekannte OpenID-Anbieter, darunter Microsoft, werden spezifische Informationen zur Einrichtung bereitgestellt. Sie können aber auch einen beliebigen Anbieter verwenden, der OIDC implementiert.

  • Lightweight Directory Access Protocol (LDAP) Sie können GKE Identity Service verwenden, um sich mit LDAP bei Active Directory oder einem LDAP-Server zu authentifizieren.

OIDC

  1. Registrieren Sie GKE Identity Service als Client bei Ihrem OIDC-Anbieter. Folgen Sie dazu der Anleitung unter Anbieter für GKE Identity Service konfigurieren.

  2. Wählen Sie eine der folgenden Clusterkonfigurationsoptionen aus:

    • Konfigurieren Sie Ihre Cluster auf Flottenebene gemäß der Anleitung unter Cluster für GKE Identity Service auf Flottenebene konfigurieren (Vorschau, Google Distributed Cloud-Version 1.8 und höher). Bei dieser Option wird Ihre Authentifizierungskonfiguration zentral von Google Cloud verwaltet.

    • Konfigurieren Sie Ihre Cluster einzeln. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service mit OIDC konfigurieren. Da die Einrichtung auf Flottenebene eine Funktion in der Vorabversion ist, sollten Sie diese Option in Produktionsumgebungen verwenden, wenn Sie eine ältere Version von Google Distributed Cloud verwenden oder GKE Identity Service-Features benötigen, die noch nicht mit Lebenszyklusverwaltung auf Flottenebene unterstützt werden.

  3. Richten Sie den Nutzerzugriff auf Ihre Cluster einschließlich rollenbasierter Zugriffssteuerung ein. Folgen Sie dazu der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten.

LDAP

Auf Cluster zugreifen

Nachdem GKE Identity Service eingerichtet wurde, können sich Nutzer entweder über die Befehlszeile oder die Google Cloud Console bei konfigurierten Clustern anmelden.