Questa pagina spiega come configurare un provider di identità esterno per l'autenticazione nei cluster Google Kubernetes Engine (GKE).
Panoramica
Identity Service per GKE estende le tue soluzioni di identità esistenti per l'autenticazione nei cluster GKE. Con il supporto di OpenID Connect (OIDC), puoi gestire l'accesso ai cluster Kubernetes utilizzando le procedure standard della tua organizzazione per la creazione, l'abilitazione e la disabilitazione degli account utente. Identity Service per GKE è limitato ai provider di identità OIDC.
Prima di iniziare
Questo argomento presuppone che tu conosca i seguenti concetti di autenticazione e OpenID:
I sistemi headless non sono supportati. Viene usato un flusso di autenticazione basato su browser per richiedere il consenso e autorizzare il tuo account utente.
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Abilita l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo
gcloud components update
.
Chi utilizza Identity Service per GKE
Le attività in questo documento si applicano a te se rientri in una delle seguenti categorie:
Amministratore del cluster: crea uno o più cluster utente e crea file di configurazione dell'autenticazione per gli sviluppatori che utilizzano i cluster.
Sviluppatore: esegue i carichi di lavoro su uno o più cluster e utilizza OIDC per l'autenticazione.
Come funziona
Per configurare e utilizzare Identity Service per GKE sul tuo cluster GKE, gli amministratori del cluster:
- Abilita Identity Service per GKE su un cluster.
- Configura Identity Service per GKE.
- Crea un criterio RBAC per il tuo cluster.
Dopo che gli amministratori del cluster hanno configurato Identity Service per GKE, gli sviluppatori possono accedere al cluster ed autenticarsi.
Abilita Identity Service per GKE su un cluster
Questa sezione è rivolta agli amministratori del cluster.
Per impostazione predefinita, Identity and Access Management (IAM) è configurato come provider di identità per l'autenticazione del cluster. Se vuoi utilizzare OIDC con provider di identità di terze parti, puoi abilitare Identity Service per GKE su cluster nuovi o esistenti utilizzando Google Cloud CLI.
Abilita Identity Service per GKE su un nuovo cluster
Per creare un cluster in cui è abilitato Identity Service for GKE, esegui questo comando:
gcloud container clusters create CLUSTER_NAME \
--enable-identity-service
Sostituisci CLUSTER_NAME
con il nome del nuovo cluster.
Abilita Identity Service per GKE su un cluster esistente
Per abilitare Identity Service per GKE su un cluster esistente, esegui questo comando
gcloud container clusters update CLUSTER_NAME \
--enable-identity-service
Sostituisci CLUSTER_NAME
con il nome del tuo cluster.
Oggetti Kubernetes creati da Identity Service per GKE
La tabella seguente descrive gli oggetti Kubernetes creati quando abiliti Identity Service per GKE su un cluster:
Oggetti Kubernetes | |
---|---|
anthos-identity-service |
Namespace Utilizzato per Identity Service per i deployment GKE. |
kube-public |
Namespace Utilizzato per il file di configurazione del client default . |
gke-oidc-envoy |
LoadBalancer L'endpoint per le richieste OIDC. Esterno per impostazione predefinita. Se creato in un cluster privato o con un criterio di rete rigoroso, l'endpoint è interno al Virtual Private Cloud del cluster. Creata nello spazio dei nomi anthos-identity-service . |
gke-oidc-service |
ClusterIP Facilita la comunicazione tra il deployment gke-oidc-envoy e il deployment gke-oidc-service .Creata nello spazio dei nomi anthos-identity-service . |
gke-oidc-envoy |
Deployment Esegue un proxy esposto al bilanciatore del carico gke-oidc-envoy . Comunica con gke-oidc-service per convalidare i token di identità. Agisce da proxy per il server API Kubernetes e impersona gli utenti durante la trasmissione delle richieste al server API.Creata nello spazio dei nomi anthos-identity-service . |
gke-oidc-service |
Deployment Convalida i token di identità e fornisce un webhook di ammissione di convalida per ClientConfig risorse.Creata nello spazio dei nomi anthos-identity-service . |
gke-oidc-operator |
Deployment Riconcilia la configurazione del client e il LoadBalancer gke-oidc-envoy . Creata nello spazio dei nomi anthos-identity-service . |
gke-oidc-certs |
Secret Contiene l'autorità di certificazione (CA) del cluster e i certificati TLS per il LoadBalancer. Creata nello spazio dei nomi anthos-identity-service |
default |
ClientConfig CRD Contiene parametri OIDC come il metodo di autenticazione preferito, la configurazione del provider di identità e le mappature delle attestazioni di utenti e gruppi. Utilizzato per la convalida del token di identità. Utilizzato dagli amministratori del cluster per configurare le impostazioni OIDC prima della distribuzione agli sviluppatori. Creata nello spazio dei nomi kube-public |
Configura Identity Service per GKE
Questa sezione è rivolta agli amministratori del cluster.
Puoi configurare i parametri di Identity Service per GKE scaricando e modificando il ClientConfig default
.
Scarica
default
ClientConfig:kubectl get clientconfig default -n kube-public -o yaml > client-config.yaml
Aggiorna la sezione
spec.authentication
con le tue impostazioni preferite:apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: name: cluster-name server: https://192.168.0.1:6443 authentication: - name: oidc oidc: clientID: CLIENT_ID certificateAuthorityData: OIDC_PROVIDER_CERTIFICATE extraParams: EXTRA_PARAMS issuerURI: ISSUER_URI cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc kubectlRedirectURI: KUBECTL_REDIRECT_URL scopes: SCOPES userClaim: USER groupsClaim: GROUPS userPrefix: USER_PREFIX groupPrefix: GROUP_PREFIX
Sostituisci quanto segue:
CLIENT_ID
: l'ID dell'applicazione client che effettua le richieste di autenticazione al provider OIDC.OIDC_PROVIDER_CERTIFICATE
: (facoltativo) un certificato PEM per il provider OIDC. Questo campo potrebbe essere utile se il tuo provider OIDC utilizza certificati autofirmati. Identity Service per GKE include per impostazione predefinita un set di certificati radice pubblici.EXTRA_PARAMS
: parametri chiave-valore aggiuntivi da inviare al provider OIDC.- Per autorizzare i gruppi, utilizza
resource=token-groups-claim
. - Per autenticare Microsoft Azure e Okta, utilizza
prompt=consent
. - Per Cloud Identity, utilizza
prompt=consent,access_type=offline
.
- Per autorizzare i gruppi, utilizza
ISSUER_URI
: l'URL per inviare le richieste di autorizzazione OIDC, comehttps://example.com/adfs
. Il server API Kubernetes utilizza questo URL per trovare chiavi pubbliche per la verifica dei token. L'URI deve utilizzare HTTPS. Per Cloud Identity, utilizzahttps://accounts.google.com
.KUBECTL_REDIRECT_URL
: l'URL di reindirizzamento chekubectl oidc login
utilizza per l'autorizzazione. In genere, questo è nel formatohttp://localhost:PORT/callback
, dovePORT
è una porta superiore a1024
che sarà disponibile sulle workstation degli sviluppatori, ad esempiohttp://localhost:10000/callback
. Devi registrare l'URL presso il tuo provider OIDC come URL di reindirizzamento autorizzato per l'applicazione client. Se utilizzi Google Identity come provider OIDC, consulta Impostare un URI di reindirizzamento per istruzioni.SCOPES
: gli ambiti aggiuntivi da inviare al provider OIDC.- Microsoft Azure e Okta richiedono l'ambito
offline_access
. - Per Cloud Identity, utilizza
openid, email
per ottenere i token ID che contengono l'indirizzo email nella dichiarazioneemail
.
- Microsoft Azure e Okta richiedono l'ambito
USER
: la rivendicazione dell'utente proveniente dal token di identità.GROUPS
: la rivendicazione di gruppo proveniente dal token di identità.USER_PREFIX
: prefisso anteposto alle rivendicazioni dell'utente per evitare conflitti con i nomi esistenti. Per impostazione predefinita, un prefisso dell'emittente viene aggiunto aluserID
fornito al server API Kubernetes (a meno che la dichiarazione dell'utente non siaemail
). L'identificatore utente risultante èISSUER_URI#USER
. Consigliamo di utilizzare un prefisso, ma puoi disattivarlo impostandoloUSER_PREFIX
su-
.GROUP_PREFIX
: prefisso anteposto alle attestazioni di gruppo per evitare conflitti con i nomi esistenti. Ad esempio, se hai due gruppi denominatifoobar
, aggiungi il prefissogid-
. Il gruppo risultante ègid-foobar
.
Applica la configurazione aggiornata:
kubectl apply -f client-config.yaml
Dopo aver applicato questa configurazione, Identity Service for GKE viene eseguito all'interno del cluster e gestisce le richieste dietro il bilanciatore del carico
gke-oidc-envoy
. L'indirizzo IP nel campospec.server
deve essere l'indirizzo IP del bilanciatore del carico. Se modifichi il campospec.server
, i comandi dikubectl
potrebbero non riuscire.Crea una copia del file di configurazione
client-config.yaml
:cp client-config.yaml login-config.yaml
Aggiorna il file di configurazione
login-config.yaml
con l'impostazioneclientSecret
nella sezionespec.authentication.oidc
.clientSecret: CLIENT_SECRET
Sostituisci
CLIENT_SECRET
con il secret condiviso tra l'applicazione client OIDC e il provider OIDC.Distribuisci il file
login-config.yaml
aggiornato agli sviluppatori.
Configura Identity Service per GKE su cluster con criteri rigorosi
Per configurare Identity Service per GKE in modo che funzioni come previsto sui cluster che dispongono di criteri di rete rigorosi, ad esempio i cluster privati, segui questi passaggi:
- Aggiungi una regola firewall per la porta TCP
15000
in modo che il piano di controllo possa comunicare con il webhook di convalidaClientConfig
. - Se
gke-oidc-envoy
viene creato come bilanciatore del carico interno, esponilo sul tuo VPC. - Se sono presenti criteri che negano il traffico all'interno del cluster, aggiungi una regola firewall per la porta TCP
8443
in modo che il deploymentgke-oidc-envoy
possa comunicare con il deploymentgke-oidc-service
.
Identity Service per GKE versione 0.2.20 e successive non utilizza la porta TCP 15000
. Se la versione del componente è 0.2.20 o successive, non devi aggiungere una regola firewall per la porta 15000
. Per verificare la versione del componente, esegui questo comando:
kubectl describe deployment gke-oidc-envoy -n anthos-identity-service \
| grep "components.gke.io/component-name: gke-oidc" -A1
Aggiungere proprietà personalizzate al bilanciatore del carico
Dopo aver configurato Identity Service per GKE, puoi aggiungere annotazioni e proprietà personalizzate, come un indirizzo IP statico, al bilanciatore del carico gke-oidc-envoy
. Per modificare il servizio gke-oidc-envoy
, esegui questo comando:
kubectl edit service gke-oidc-envoy -n anthos-identity-service
Consulta la documentazione su come configurare il bilanciamento del carico TCP/UDP per GKE.
Crea un criterio RBAC per il tuo cluster
Questa sezione è rivolta agli amministratori del cluster.
Gli amministratori possono utilizzare il controllo controllo dell'accesso basato su ruoli (RBAC) di Kubernetes per concedere l'accesso agli utenti del cluster autenticati. Per configurare RBAC per il tuo cluster, devi concedere i ruoli RBAC a ogni sviluppatore. Per concedere l'accesso alle risorse in un determinato spazio dei nomi, crea un Role e un RoleBinding. Per concedere l'accesso alle risorse in un intero cluster, crea un ClusterRole e un ClusterRoleBinding.
Prendiamo ad esempio un utente che deve visualizzare tutti gli oggetti Secret all'interno del cluster. I passaggi seguenti concedono i ruoli RBAC richiesti a questo utente.
Salva il seguente manifest ClusterRole come
secret-viewer-cluster-role.yaml
. Chi a cui viene concesso questo ruolo può recuperare, guardare ed elencare qualsiasi secret nel cluster.apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: secret-viewer rules: - apiGroups: [""] # The resource type for which access is granted resources: ["secrets"] # The permissions granted by the ClusterRole verbs: ["get", "watch", "list"]
Applica il manifest ClusterRole:
kubectl apply -f secret-viewer-cluster-role.yaml
Salva il seguente manifest di ClusterRoleBinding come
secret-viewer-cluster-role-binding.yaml
. L'associazione concede il ruolosecret-viewer
a un nome utente definito nel file di configurazione del client.apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: people-who-view-secrets subjects: - kind: User name: ISSUER_URI#USER apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: secret-viewer apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
ISSUER_URI
: l'URI dell'emittente daspec.authentication.oidc.issuerURI
nel file di configurazione del client.USER
: l'identificatore utente nel token sotto il nome della rivendicazione configurato inspec.authentication.oidc.userClaim
nel file di configurazione del client.
Applica il manifest ClusterRoleBinding:
kubectl apply -f secret-viewer-cluster-role-binding.yaml
Accedi e autentica nel cluster
Questa sezione è rivolta agli sviluppatori.
Quando ricevi il file di configurazione OIDC dall'amministratore, puoi eseguire l'autenticazione nei cluster.
Scarica il file
login-config.yaml
fornito dal tuo amministratore.Installa l'SDK Google Cloud CLI, che offre un componente OIDC separato. Puoi installarlo eseguendo questo comando:
gcloud components install kubectl-oidc
Esegui l'autenticazione nel cluster:
kubectl oidc login --cluster=CLUSTER_NAME --login-config=login-config.yaml
Si apre un browser web per completare il processo di autenticazione.
Dopo l'autenticazione, puoi eseguire i comandi
kubectl
, ad esempio:kubectl get pods
Disabilita Identity Service per GKE
Questa sezione è rivolta agli amministratori del cluster.
Puoi disabilitare Identity Service per GKE con gcloud CLI. Per disabilitare Identity Service per GKE, esegui questo comando:
gcloud container clusters update CLUSTER_NAME \
--no-enable-identity-service
Passaggi successivi
- Scopri di più sul deployment dei carichi di lavoro.
- Scopri di più su OpenID Connect.
- Scopri di più su ambiti e rivendicazioni.