GKE sur Bare Metal est compatible avec OpenID Connect (OIDC) et le protocole LDAP (Lightweight Directory Access Protocol) en tant que mécanismes d'authentification pour interagir avec le serveur d'API Kubernetes d'un cluster, à l'aide de GKE Identity Service. GKE Identity Service est un service d'authentification qui vous permet d'utiliser vos solutions d'identité existantes pour l'authentification dans plusieurs environnements GKE Enterprise. Les utilisateurs peuvent se connecter à vos clusters GKE et les utiliser à partir de la ligne de commande (tous les fournisseurs) ou de la console Google Cloud (OIDC uniquement), le tout à l'aide de votre fournisseur d'identité existant.
GKE Identity Service fonctionne avec n'importe quel type de cluster Bare Metal: administrateur, utilisateur, hybride ou autonome. Vous pouvez utiliser à la fois des fournisseurs d'identité sur site et accessibles publiquement. Par exemple, si votre entreprise exécute un serveur ADFS (Active Directory Federation Services), ce serveur peut servir de fournisseur OpenID. Vous pouvez également utiliser des services de fournisseurs d'identité accessibles publiquement, tels qu'Okta. Les certificats de fournisseur d'identité peuvent être délivrés par une autorité de certification publique connue ou par une autorité de certification privée.
Pour une présentation du fonctionnement de GKE Identity Service, consultez la page Présentation de GKE Identity Service.
Si vous utilisez déjà ou souhaitez utiliser des ID Google pour vous connecter à vos clusters GKE au lieu d'un fournisseur OIDC ou LDAP, nous vous recommandons d'utiliser la passerelle Connect pour l'authentification. Pour en savoir plus, consultez la section Se connecter à des clusters enregistrés avec la passerelle Connect.
Avant de commencer
Notez que les systèmes sans interface graphique ne sont pas compatibles. Un flux d'authentification basé sur un navigateur permet de demander le consentement des utilisateurs et d'autoriser leur compte utilisateur.
Pour l'authentification via la console Google Cloud, chaque cluster que vous souhaitez configurer doit être enregistré dans votre parc de projets.
Processus de configuration et options associées
GKE Identity Service est compatible avec les fournisseurs d'identité utilisant les protocoles suivants:
OpenID Connect (OIDC). Nous fournissons des instructions de configuration spécifiques à certains fournisseurs OpenID populaires, y compris Microsoft, mais vous pouvez faire appel à n'importe quel fournisseur qui implémente OIDC.
Lightweight Directory Access Protocol (LDAP). Vous pouvez utiliser GKE Identity Service pour vous authentifier à l'aide de LDAP avec Active Directory ou un serveur LDAP.
OIDC
Enregistrez GKE Identity Service en tant que client avec votre fournisseur OIDC en suivant les instructions de la section Configurer des fournisseurs pour GKE Identity Service.
Choisissez l'une des options de configuration de cluster suivantes :
Configurez vos clusters au niveau du parc en suivant les instructions de la section Configurer des clusters pour le service GKE Identity Service au niveau du parc (version preview, GKE sur Bare Metal version 1.8 et ultérieure). Avec cette option, votre configuration d'authentification est gérée de manière centralisée par Google Cloud.
Configurez vos clusters individuellement en suivant les instructions de la page Configurer des clusters pour GKE Identity Service à l'aide d'OIDC. La configuration au niveau du parc étant une fonctionnalité en version preview, vous pouvez utiliser cette option dans des environnements de production, si vous utilisez une version antérieure de GKE sur une solution Bare Metal ou si vous avez besoin de fonctionnalités GKE Identity Service qui ne sont pas encore compatibles avec la gestion du cycle de vie au niveau du parc.
Configurez l'accès des utilisateurs à vos clusters, y compris le contrôle des accès basé sur les rôles (RBAC), en suivant les instructions de la section Configurer l'accès des utilisateurs pour GKE Identity Service.
LDAP
- Suivez les instructions de la section Configurer le service d'identité GKE avec LDAP.
Accéder aux clusters
Une fois GKE Identity Service configuré, les utilisateurs peuvent se connecter aux clusters configurés à l'aide de la ligne de commande ou de la console Google Cloud.
Pour savoir comment vous connecter aux clusters enregistrés avec votre ID OIDC ou LDAP, consultez la page Accéder aux clusters à l'aide du service GKE Identity Service.
Pour découvrir comment vous connecter aux clusters depuis la console Google Cloud, consultez la page Utiliser des clusters depuis la console Google Cloud (OIDC uniquement).