Gestire l'identità con GKE Identity Service

Google Distributed Cloud supporta OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per l'interazione con il server API Kubernetes di un cluster, utilizzando GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti cluster. Gli utenti possono accedere e utilizzare i cluster dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), utilizzando il provider di identità esistente.

Puoi utilizzare provider di identità on-premise e raggiungibili pubblicamente con GKE Identity Service. Ad esempio, se la tua azienda esegue un server Active Directory Federation Services (ADFS), il server ADFS potrebbe fungere da provider OpenID. Puoi anche utilizzare servizi di provider di identità raggiungibili pubblicamente come Okta. I certificati del provider di identità possono essere emessi da un'autorità di certificazione (CA) pubblica nota o da una CA privata.

Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.

Se utilizzi già o vuoi utilizzare gli ID Google per accedere ai tuoi cluster GKE anziché un provider OIDC o LDAP, ti consigliamo di utilizzare il gateway Connect per l'autenticazione. Scopri di più in Connessione a cluster registrati con il gateway Connect.

Procedura di configurazione e opzioni

OIDC

1. Registra GKE Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per GKE Identity Service.

2. Scegli tra le seguenti opzioni di configurazione del cluster:

   • Configura i cluster a livello di parco risorse seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service a livello di parco risorse (anteprima, Google Distributed Cloud versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione viene gestita centralmente da Google Cloud.
   • Configura i cluster singolarmente seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità di anteprima, potresti voler utilizzare questa opzione negli ambienti di produzione se utilizzi una versione precedente di Google Distributed Cloud o se hai bisogno di funzionalità di GKE Identity Service che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.

3. Configura l'accesso utente ai tuoi cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurazione dell'accesso utente per GKE Identity Service.

LDAP

• Segui le istruzioni riportate in Configurare GKE Identity Service con LDAP.

Accesso ai cluster

Una volta configurato GKE Identity Service, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la console Google Cloud .

• Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accesso ai cluster utilizzando GKE Identity Service.
• Scopri come accedere ai cluster dalla console Google Cloud in Accesso a un cluster dalla console Google Cloud (solo OIDC).

Risolvere i problemi del flusso di accesso

Per risolvere i problemi relativi ai flussi di accesso che eseguono l'autenticazione direttamente sul server GKE Identity Service con un nome di dominio completo (FQDN), puoi utilizzare l'utilità di diagnostica di GKE Identity Service. L'utilità di diagnostica simula i flussi di accesso con il tuo provider OIDC per identificare rapidamente i problemi di configurazione. Questo strumento richiede un cluster versione 1.32 o successiva e supporta solo OIDC. Per ulteriori informazioni, consulta Utilità di diagnostica del servizio di identità GKE.