GKE Identity Service로 ID 관리

Google Distributed Cloud는 GKE Identity Service를 사용하여 OpenID Connect(OIDC) 및 경량 디렉터리 액세스 프로토콜(LDAP)을 클러스터의 Kubernetes API와 상호작용하기 위한 인증 메커니즘으로 지원합니다. GKE Identity Service는 인증을 위한 기존 ID 솔루션을 여러 GKE Enterprise 환경에 적용할 수 있게 해주는 인증 서비스입니다. 명령줄(모든 공급업체) 또는Google Cloud 콘솔(OIDC만 해당)에서 모두 기존 ID 공급업체를 사용하여 GKE 클러스터에 로그인하고 이를 사용할 수 있습니다.

GKE Identity Service는 관리자, 사용자, 하이브리드 또는 독립형 등 모든 종류의 베어메탈 클러스터에서 작동합니다. 온프레미스 및 공개적으로 연결 가능한 ID 공급업체 모두 사용할 수 있습니다. 예를 들어 기업에서 Active Directory Federation Services(ADFS) 서버를 실행하는 경우 ADFS 서버가 OpenID 제공업체 역할을 할 수 있습니다. Okta와 같은 공개적으로 연결 가능한 ID 공급업체 서비스를 사용할 수도 있습니다. ID 공급업체 인증서는 잘 알려진 공공 인증 기관(CA) 또는 민간 CA에서 발급받을 수 있습니다.

GKE Identity Service 작동 방식에 대한 개요는 GKE Identity Service 소개를 참조하세요.

OIDC 또는 LDAP 제공업체 대신 GKE 클러스터에 로그인하기 위해 Google ID를 이미 사용 중이거나 사용하려는 경우에는 인증에 Connect Gateway를 사용하는 것이 좋습니다. 자세한 내용은 Connect Gateway를 사용하여 등록된 클러스터에 연결을 참조하세요.

시작하기 전에

• 사용자 동의를 구하고 사용자 계정을 승인하기 위해 브라우저 기반 인증 흐름이 사용됩니다. 헤드리스 시스템은 지원되지 않습니다.

• Google Cloud 콘솔을 통해 인증하려면 구성하려는 각 클러스터가 프로젝트 Fleet에 등록되어 있어야 합니다.

설정 프로세스 및 옵션

GKE Identity Service는 다음 프로토콜을 사용하여 ID 공급업체를 지원합니다.

• OpenID Connect(OIDC). Google에서는 Microsoft를 비롯한 일부 인기 있는 OpenID 제공업체의 설정을 위한 구체적인 안내를 제공하지만 개발자는 OIDC를 구현하는 모든 제공업체를 사용할 수 있습니다.

• 경량 디렉터리 액세스 프로토콜(LDAP). GKE Identity Service를 사용하면 Active Directory의 LDAP 또는 LDAP 서버를 사용하여 인증할 수 있습니다.

OIDC

1. GKE Identity Service 제공업체 구성의 안내에 따라 GKE Identity Service를 클라이언트로 OIDC 제공업체에 등록합니다.

2. 다음 클러스터 구성 옵션 중에서 선택합니다.

   • Fleet 수준 GKE Identity Service를 위한 클러스터 구성(미리보기, Google Distributed Cloud 버전 1.8 이상)의 안내에 따라 Fleet 수준에서 클러스터를 구성합니다. 이 옵션을 사용하면 인증 구성이 Google Cloud에서 중앙으로 관리됩니다.

   • OIDC로 GKE Identity Service를 위한 클러스터 구성의 안내에 따라 클러스터를 개별적으로 구성합니다. Fleet 수준 설정은 미리보기 기능이므로 이전 버전의 Google Distributed Cloud를 사용하거나 아직 Fleet 수준 수명 주기 관리로 지원되지 않는 GKE ID 서비스 기능이 필요한 경우 프로덕션 환경에서 이 옵션을 사용하는 것이 좋습니다.

3. GKE Identity Service를 위한 사용자 액세스 설정의 안내에 따라 역할 기반 액세스 제어(RBAC)를 포함하여 클러스터에 대한 사용자 액세스 권한을 설정합니다.

LDAP

LDAP를 시작하려면 LDAP로 GKE ID 서비스 설정의 안내를 따르세요.

클러스터 액세스

GKE ID 서비스가 설정된 후 사용자는 명령줄 또는 Google Cloud 콘솔을 사용하여 구성된 클러스터에 로그인할 수 있습니다.

• GKE Identity Service를 사용하여 클러스터에 액세스에서 OIDC 또는 LDAP ID로 등록된 클러스터에 로그인하는 방법을 알아봅니다.

• Google Cloud 콘솔에서 클러스터에 로그인하는 방법은 Google Cloud 콘솔에서 클러스터 작업(OIDC만 해당)을 참고하세요.

로그인 흐름 문제 해결

정규화된 도메인 이름(FQDN)으로 GKE ID 서비스 서버에서 직접 인증하는 로그인 흐름을 해결하려면 GKE ID 서비스 진단 유틸리티를 사용하면 됩니다. 진단 유틸리티는 OIDC 제공업체의 로그인 흐름을 시뮬레이션하여 구성 문제를 빠르게 식별합니다. 이 도구를 사용하려면 버전 1.32 이상 클러스터가 필요하며 OIDC만 지원됩니다. 자세한 내용은 GKE ID 서비스 진단 유틸리티를 참고하세요.