Mengelola identitas dengan Identity Service GKE

Google Distributed Cloud mendukung OpenID Connect (OIDC) dan Lightweight Directory Access Protocol (LDAP) sebagai mekanisme autentikasi untuk berinteraksi dengan server Kubernetes API cluster, menggunakan GKE Identity Service. GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda membawa solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan cluster. Pengguna dapat login dan menggunakan cluster Anda dari command line (semua penyedia) atau dari Google Cloud konsol (khusus OIDC), semuanya menggunakan penyedia identitas Anda yang sudah ada.

Anda dapat menggunakan penyedia identitas yang dapat dijangkau secara publik dan di tempat dengan GKE Identity Service. Misalnya, jika perusahaan Anda menjalankan server Active Directory Federation Services (ADFS), server ADFS dapat berfungsi sebagai penyedia OpenID Anda. Anda juga dapat menggunakan layanan penyedia identitas yang dapat dijangkau secara publik seperti Okta. Sertifikat penyedia identitas dapat diterbitkan oleh certificate authority (CA) publik yang terkenal, atau oleh CA pribadi.

Untuk mengetahui ringkasan cara kerja GKE Identity Service, lihat Memperkenalkan GKE Identity Service.

Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE, bukan penyedia OIDC atau LDAP, sebaiknya gunakan gateway Connect untuk autentikasi. Cari tahu selengkapnya di Menghubungkan ke cluster terdaftar dengan gateway Connect.

Proses dan opsi penyiapan

OIDC

1. Daftarkan GKE Identity Service sebagai klien dengan penyedia OIDC Anda dengan mengikuti petunjuk di Mengonfigurasi penyedia untuk GKE Identity Service.

2. Pilih dari opsi konfigurasi cluster berikut:

   • Konfigurasi cluster Anda di tingkat fleet dengan mengikuti petunjuk di Mengonfigurasi cluster untuk GKE Identity Service tingkat fleet (pratinjau, Google Distributed Cloud versi 1.8 dan yang lebih tinggi). Dengan opsi ini, konfigurasi autentikasi Anda dikelola secara terpusat oleh Google Cloud.
   • Konfigurasi setiap cluster secara terpisah dengan mengikuti petunjuk di Mengonfigurasi cluster untuk GKE Identity Service dengan OIDC. Karena penyiapan tingkat fleet adalah fitur pratinjau, Anda dapat menggunakan opsi ini di lingkungan produksi, jika Anda menggunakan Google Distributed Cloud versi yang lebih lama, atau jika Anda memerlukan fitur GKE Identity Service yang belum didukung dengan pengelolaan siklus proses tingkat fleet.

3. Siapkan akses pengguna ke cluster Anda, termasuk kontrol akses berbasis peran (RBAC), dengan mengikuti petunjuk di Menyiapkan akses pengguna untuk Layanan Identitas GKE.

LDAP

• Ikuti petunjuk di Menyiapkan GKE Identity Service dengan LDAP.

Mengakses cluster

Setelah GKE Identity Service disiapkan, pengguna dapat login ke cluster yang dikonfigurasi menggunakan command line atau konsol Google Cloud .

• Pelajari cara login ke cluster terdaftar dengan ID OIDC atau LDAP Anda di Mengakses cluster menggunakan GKE Identity Service.
• Pelajari cara login ke cluster dari konsol di Login ke cluster dari konsol (khusus OIDC). Google Cloud Google Cloud

Memecahkan masalah alur login

Untuk memecahkan masalah alur login yang melakukan autentikasi langsung di server GKE Identity Service dengan nama domain yang sepenuhnya memenuhi syarat (FQDN), Anda dapat menggunakan utilitas diagnostik GKE Identity Service. Utilitas diagnostik mensimulasikan alur login dengan penyedia OIDC Anda untuk mengidentifikasi masalah konfigurasi dengan cepat. Alat ini memerlukan cluster versi 1.32 atau yang lebih tinggi dan hanya mendukung OIDC. Untuk mengetahui informasi selengkapnya, lihat Utilitas diagnostik GKE Identity Service.