Utilizza provider di identità esterni per l'autenticazione su GKE


Questa pagina spiega come configurare un provider di identità esterno per l'autenticazione nei cluster Google Kubernetes Engine (GKE).

Panoramica

Identity Service per GKE estende le tue soluzioni di identità esistenti per l'autenticazione nei cluster GKE. Con il supporto di OpenID Connect (OIDC), puoi gestire l'accesso ai cluster Kubernetes utilizzando le procedure standard della tua organizzazione per la creazione, l'abilitazione e la disabilitazione degli account utente. Identity Service per GKE è limitato ai provider di identità OIDC.

Prima di iniziare

  • Questo argomento presuppone che tu conosca i seguenti concetti di autenticazione e OpenID:

  • I sistemi headless non sono supportati. Viene usato un flusso di autenticazione basato su browser per richiedere il consenso e autorizzare il tuo account utente.

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

  • Abilita l'API Google Kubernetes Engine.
  • Abilita l'API Google Kubernetes Engine
  • Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.

Chi utilizza Identity Service per GKE

Le attività in questo documento si applicano a te se rientri in una delle seguenti categorie:

  • Amministratore del cluster: crea uno o più cluster utente e crea file di configurazione dell'autenticazione per gli sviluppatori che utilizzano i cluster.

  • Sviluppatore: esegue i carichi di lavoro su uno o più cluster e utilizza OIDC per l'autenticazione.

Come funziona

Per configurare e utilizzare Identity Service per GKE sul tuo cluster GKE, gli amministratori del cluster:

  1. Abilita Identity Service per GKE su un cluster.
  2. Configura Identity Service per GKE.
  3. Crea un criterio RBAC per il tuo cluster.

Dopo che gli amministratori del cluster hanno configurato Identity Service per GKE, gli sviluppatori possono accedere al cluster ed autenticarsi.

Abilita Identity Service per GKE su un cluster

Questa sezione è rivolta agli amministratori del cluster.

Per impostazione predefinita, Identity and Access Management (IAM) è configurato come provider di identità per l'autenticazione del cluster. Se vuoi utilizzare OIDC con provider di identità di terze parti, puoi abilitare Identity Service per GKE su cluster nuovi o esistenti utilizzando Google Cloud CLI.

Abilita Identity Service per GKE su un nuovo cluster

Per creare un cluster in cui è abilitato Identity Service for GKE, esegui questo comando:

gcloud container clusters create CLUSTER_NAME \
    --enable-identity-service

Sostituisci CLUSTER_NAME con il nome del nuovo cluster.

Abilita Identity Service per GKE su un cluster esistente

Per abilitare Identity Service per GKE su un cluster esistente, esegui questo comando

gcloud container clusters update CLUSTER_NAME \
    --enable-identity-service

Sostituisci CLUSTER_NAME con il nome del tuo cluster.

Oggetti Kubernetes creati da Identity Service per GKE

La tabella seguente descrive gli oggetti Kubernetes creati quando abiliti Identity Service per GKE su un cluster:

Oggetti Kubernetes
anthos-identity-service Namespace
Utilizzato per Identity Service per i deployment GKE.
kube-public Namespace
Utilizzato per il file di configurazione del client default.
gke-oidc-envoy LoadBalancer
L'endpoint per le richieste OIDC. Esterno per impostazione predefinita. Se creato in un cluster privato o con un criterio di rete rigoroso, l'endpoint è interno al Virtual Private Cloud del cluster.
Creata nello spazio dei nomi anthos-identity-service.
gke-oidc-service ClusterIP
Facilita la comunicazione tra il deployment gke-oidc-envoy e il deployment gke-oidc-service.
Creata nello spazio dei nomi anthos-identity-service.
gke-oidc-envoy Deployment
Esegue un proxy esposto al bilanciatore del carico gke-oidc-envoy. Comunica con gke-oidc-service per convalidare i token di identità. Agisce da proxy per il server API Kubernetes e impersona gli utenti durante la trasmissione delle richieste al server API.
Creata nello spazio dei nomi anthos-identity-service.
gke-oidc-service Deployment
Convalida i token di identità e fornisce un webhook di ammissione di convalida per ClientConfig risorse.
Creata nello spazio dei nomi anthos-identity-service.
gke-oidc-operator Deployment
Riconcilia la configurazione del client e il LoadBalancer gke-oidc-envoy.
Creata nello spazio dei nomi anthos-identity-service.
gke-oidc-certs Secret
Contiene l'autorità di certificazione (CA) del cluster e i certificati TLS per il LoadBalancer.
Creata nello spazio dei nomi anthos-identity-service
default ClientConfig CRD
Contiene parametri OIDC come il metodo di autenticazione preferito, la configurazione del provider di identità e le mappature delle attestazioni di utenti e gruppi. Utilizzato per la convalida del token di identità. Utilizzato dagli amministratori del cluster per configurare le impostazioni OIDC prima della distribuzione agli sviluppatori.
Creata nello spazio dei nomi kube-public

Configura Identity Service per GKE

Questa sezione è rivolta agli amministratori del cluster.

Puoi configurare i parametri di Identity Service per GKE scaricando e modificando il ClientConfig default.

  1. Scarica default ClientConfig:

    kubectl get clientconfig default -n kube-public -o yaml > client-config.yaml
    
  2. Aggiorna la sezione spec.authentication con le tue impostazioni preferite:

    apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
    metadata:
      name: default
      namespace: kube-public
    spec:
      name: cluster-name
      server: https://192.168.0.1:6443
      authentication:
      - name: oidc
        oidc:
          clientID: CLIENT_ID
          certificateAuthorityData: OIDC_PROVIDER_CERTIFICATE
          extraParams: EXTRA_PARAMS
          issuerURI:  ISSUER_URI
          cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
          kubectlRedirectURI: KUBECTL_REDIRECT_URL
          scopes: SCOPES
          userClaim: USER
          groupsClaim: GROUPS
          userPrefix: USER_PREFIX
          groupPrefix: GROUP_PREFIX
    

    Sostituisci quanto segue:

    • CLIENT_ID: l'ID dell'applicazione client che effettua le richieste di autenticazione al provider OIDC.
    • OIDC_PROVIDER_CERTIFICATE: (facoltativo) un certificato PEM per il provider OIDC. Questo campo potrebbe essere utile se il tuo provider OIDC utilizza certificati autofirmati. Identity Service per GKE include per impostazione predefinita un set di certificati radice pubblici.
    • EXTRA_PARAMS: parametri chiave-valore aggiuntivi da inviare al provider OIDC.
      • Per autorizzare i gruppi, utilizza resource=token-groups-claim.
      • Per autenticare Microsoft Azure e Okta, utilizza prompt=consent.
      • Per Cloud Identity, utilizza prompt=consent,access_type=offline.
    • ISSUER_URI: l'URL per inviare le richieste di autorizzazione OIDC, come https://example.com/adfs. Il server API Kubernetes utilizza questo URL per trovare chiavi pubbliche per la verifica dei token. L'URI deve utilizzare HTTPS. Per Cloud Identity, utilizza https://accounts.google.com.
    • KUBECTL_REDIRECT_URL: l'URL di reindirizzamento che kubectl oidc login utilizza per l'autorizzazione. In genere, questo è nel formato http://localhost:PORT/callback, dove PORT è una porta superiore a 1024 che sarà disponibile sulle workstation degli sviluppatori, ad esempio http://localhost:10000/callback. Devi registrare l'URL presso il tuo provider OIDC come URL di reindirizzamento autorizzato per l'applicazione client. Se utilizzi Google Identity come provider OIDC, consulta Impostare un URI di reindirizzamento per istruzioni.
    • SCOPES: gli ambiti aggiuntivi da inviare al provider OIDC.
      • Microsoft Azure e Okta richiedono l'ambito offline_access.
      • Per Cloud Identity, utilizza openid, email per ottenere i token ID che contengono l'indirizzo email nella dichiarazione email.
    • USER: la rivendicazione dell'utente proveniente dal token di identità.
    • GROUPS: la rivendicazione di gruppo proveniente dal token di identità.
    • USER_PREFIX: prefisso anteposto alle rivendicazioni dell'utente per evitare conflitti con i nomi esistenti. Per impostazione predefinita, un prefisso dell'emittente viene aggiunto al userID fornito al server API Kubernetes (a meno che la dichiarazione dell'utente non sia email). L'identificatore utente risultante è ISSUER_URI#USER. Consigliamo di utilizzare un prefisso, ma puoi disattivarlo impostandolo USER_PREFIX su -.
    • GROUP_PREFIX: prefisso anteposto alle attestazioni di gruppo per evitare conflitti con i nomi esistenti. Ad esempio, se hai due gruppi denominati foobar, aggiungi il prefisso gid-. Il gruppo risultante è gid-foobar.
  3. Applica la configurazione aggiornata:

    kubectl apply -f client-config.yaml
    

    Dopo aver applicato questa configurazione, Identity Service for GKE viene eseguito all'interno del cluster e gestisce le richieste dietro il bilanciatore del carico gke-oidc-envoy. L'indirizzo IP nel campo spec.server deve essere l'indirizzo IP del bilanciatore del carico. Se modifichi il campo spec.server, i comandi di kubectl potrebbero non riuscire.

  4. Crea una copia del file di configurazione client-config.yaml:

    cp client-config.yaml login-config.yaml
    
  5. Aggiorna il file di configurazione login-config.yaml con l'impostazione clientSecret nella sezione spec.authentication.oidc.

    clientSecret: CLIENT_SECRET
    

    Sostituisci CLIENT_SECRET con il secret condiviso tra l'applicazione client OIDC e il provider OIDC.

  6. Distribuisci il file login-config.yaml aggiornato agli sviluppatori.

Configura Identity Service per GKE su cluster con criteri rigorosi

Per configurare Identity Service per GKE in modo che funzioni come previsto sui cluster che dispongono di criteri di rete rigorosi, ad esempio i cluster privati, segui questi passaggi:

  1. Aggiungi una regola firewall per la porta TCP 15000 in modo che il piano di controllo possa comunicare con il webhook di convalida ClientConfig.
  2. Se gke-oidc-envoy viene creato come bilanciatore del carico interno, esponilo sul tuo VPC.
  3. Se sono presenti criteri che negano il traffico all'interno del cluster, aggiungi una regola firewall per la porta TCP 8443 in modo che il deployment gke-oidc-envoy possa comunicare con il deployment gke-oidc-service.

Identity Service per GKE versione 0.2.20 e successive non utilizza la porta TCP 15000. Se la versione del componente è 0.2.20 o successive, non devi aggiungere una regola firewall per la porta 15000. Per verificare la versione del componente, esegui questo comando:

kubectl describe deployment gke-oidc-envoy -n anthos-identity-service \
    | grep "components.gke.io/component-name: gke-oidc" -A1

Aggiungere proprietà personalizzate al bilanciatore del carico

Dopo aver configurato Identity Service per GKE, puoi aggiungere annotazioni e proprietà personalizzate, come un indirizzo IP statico, al bilanciatore del carico gke-oidc-envoy. Per modificare il servizio gke-oidc-envoy, esegui questo comando:

kubectl edit service gke-oidc-envoy -n anthos-identity-service

Consulta la documentazione su come configurare il bilanciamento del carico TCP/UDP per GKE.

Crea un criterio RBAC per il tuo cluster

Questa sezione è rivolta agli amministratori del cluster.

Gli amministratori possono utilizzare il controllo controllo dell'accesso basato su ruoli (RBAC) di Kubernetes per concedere l'accesso agli utenti del cluster autenticati. Per configurare RBAC per il tuo cluster, devi concedere i ruoli RBAC a ogni sviluppatore. Per concedere l'accesso alle risorse in un determinato spazio dei nomi, crea un Role e un RoleBinding. Per concedere l'accesso alle risorse in un intero cluster, crea un ClusterRole e un ClusterRoleBinding.

Prendiamo ad esempio un utente che deve visualizzare tutti gli oggetti Secret all'interno del cluster. I passaggi seguenti concedono i ruoli RBAC richiesti a questo utente.

  1. Salva il seguente manifest ClusterRole come secret-viewer-cluster-role.yaml. Chi a cui viene concesso questo ruolo può recuperare, guardare ed elencare qualsiasi secret nel cluster.

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRole
    metadata:
      name: secret-viewer
    rules:
    - apiGroups: [""]
      # The resource type for which access is granted
      resources: ["secrets"]
      # The permissions granted by the ClusterRole
      verbs: ["get", "watch", "list"]
    
  2. Applica il manifest ClusterRole:

    kubectl apply -f secret-viewer-cluster-role.yaml
    
  3. Salva il seguente manifest di ClusterRoleBinding come secret-viewer-cluster-role-binding.yaml. L'associazione concede il ruolo secret-viewer a un nome utente definito nel file di configurazione del client.

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRoleBinding
    metadata:
      name:  people-who-view-secrets
    subjects:
    - kind: User
      name: ISSUER_URI#USER
      apiGroup: rbac.authorization.k8s.io
    roleRef:
      kind: ClusterRole
      name: secret-viewer
      apiGroup: rbac.authorization.k8s.io
    

    Sostituisci quanto segue:

    • ISSUER_URI: l'URI dell'emittente da spec.authentication.oidc.issuerURI nel file di configurazione del client.
    • USER: l'identificatore utente nel token sotto il nome della rivendicazione configurato in spec.authentication.oidc.userClaim nel file di configurazione del client.
  4. Applica il manifest ClusterRoleBinding:

    kubectl apply -f secret-viewer-cluster-role-binding.yaml
    

Accedi e autentica nel cluster

Questa sezione è rivolta agli sviluppatori.

Quando ricevi il file di configurazione OIDC dall'amministratore, puoi eseguire l'autenticazione nei cluster.

  1. Scarica il file login-config.yaml fornito dal tuo amministratore.

  2. Installa l'SDK Google Cloud CLI, che offre un componente OIDC separato. Puoi installarlo eseguendo questo comando:

    gcloud components install kubectl-oidc
    
  3. Esegui l'autenticazione nel cluster:

    kubectl oidc login --cluster=CLUSTER_NAME --login-config=login-config.yaml
    

    Si apre un browser web per completare il processo di autenticazione.

  4. Dopo l'autenticazione, puoi eseguire i comandi kubectl, ad esempio:

    kubectl get pods
    

Disabilita Identity Service per GKE

Questa sezione è rivolta agli amministratori del cluster.

Puoi disabilitare Identity Service per GKE con gcloud CLI. Per disabilitare Identity Service per GKE, esegui questo comando:

gcloud container clusters update CLUSTER_NAME \
    --no-enable-identity-service

Passaggi successivi