Anthos clusters on VMware ora è Google Distributed Cloud (solo software) per VMware. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire l'identità con GKE Identity Service

Google Distributed Cloud supporta OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per interagire con l'API Kubernetes di un cluster utilizzando il servizio di identità GKE. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti GKE Enterprise. Gli utenti possono accedere ai tuoi cluster GKE e utilizzarli dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), il tutto utilizzando il tuo provider di identità esistente.

Con GKE Identity Service puoi utilizzare provider di identità sia on-premise che raggiungibili pubblicamente. Ad esempio, se la tua azienda esegue ADFS (Active Directory Federation Services) server ADFS, potrebbe fungere da provider OpenID. Puoi anche utilizzare servizi di provider di identità accessibili pubblicamente come Okta. I certificati del provider di identità possono essere emessi da un'autorità di certificazione pubblica (CA) nota o da un'autorità di certificazione privata.

Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.

Se utilizzi già o vuoi utilizzare gli ID Google per accedere ai tuoi cluster GKE anziché a un provider OIDC o LDAP, ti consigliamo di utilizzare il gateway Connect per l'autenticazione. Scopri di più nella sezione Connessione ai cluster registrati con il gateway Connect.

Procedura di configurazione e opzioni

OIDC

Registra il servizio di identità GKE come client con il tuo provider OIDC seguendo le istruzioni in Configurare i provider per il servizio di identità GKE.
Scegli tra le seguenti opzioni di configurazione del cluster:
- Configura i cluster a livello di parco risorse seguendo le istruzioni riportate in Configurare i cluster per il servizio GKE Identity a livello di parco risorse (anteprima, Google Distributed Cloud versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.
- Configura i tuoi cluster singolarmente seguendo le istruzioni in Configurare i cluster per GKE Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità in anteprima, ti consigliamo di utilizzare questa opzione negli ambienti di produzione, se usi una versione precedente di Google Distributed Cloud o se hai bisogno di funzionalità di GKE Identity Service che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.
Configura l'accesso utente ai tuoi cluster, incluso il controllo degli accessi basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso utente per GKE Identity Service.

LDAP

Segui le istruzioni in Configurare GKE Identity Service con LDAP.

Accesso ai cluster

Dopo aver configurato il servizio GKE Identity, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la console Google Cloud.

Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accesso ai cluster utilizzando il servizio di identità GKE.
Scopri come accedere ai cluster dalla console Google Cloud in Accedere a un cluster dalla console Google Cloud (solo OIDC).