Accedi utilizzando un nome di dominio completo (FQDN)

GKE Identity Service ti consente di accedere ai cluster configurati dalla riga di comando utilizzando un nome utente e una password di un provider di identità di terze parti. Segui le istruzioni in questa pagina se l'amministratore del cluster ha scelto di consentirti di eseguire l'autenticazione direttamente sul server GKE Identity Service con un nome di dominio completo (FQDN). Per i provider SAML, l'accesso all'accesso è supportato solo tramite questo approccio di autenticazione.

Questo approccio all'autenticazione è supportato solo per i cluster on-prem (Google Distributed Cloud) su VMware e bare metal, a partire dalla versione 1.29. Non sono supportati altri tipi di cluster.

La versione dell'interfaccia a riga di comando gcloud richiesta per accedere con il nome di dominio completo fornito è almeno 477.0.0.

Flusso di lavoro dell'accesso

Ecco i passaggi del flusso di lavoro in cui un utente accede utilizzando l'approccio all'accesso FQDN:

  1. Avvio accesso: l'utente esegue il comando gcloud anthos auth login --server APISERVER-URL per avviare la procedura di accesso.
  2. Selezione del provider di identità: all'utente viene fornito un elenco di provider di identità configurati. L'utente seleziona il provider in cui sono archiviate le sue credenziali.

  3. Autenticazione con provider di identità: il processo di autenticazione varia in base al protocollo del provider di identità scelto.

    • OIDC: l'utente viene reindirizzato alla pagina di accesso del provider OIDC. Dopo l'accesso, il provider restituisce un codice al servizio di identità GKE, che lo scambia con un token di accesso tramite una comunicazione back-channel.
    • SAML: l'utente viene reindirizzato alla pagina di accesso del provider SAML. Dopo l'accesso, il provider invia direttamente un token (asserzione) al servizio di identità GKE evitando così un ulteriore callback.
    • LDAP: invece di reindirizzare a un provider esterno, GKE Identity Service mostra una pagina di accesso in cui l'utente inserisce le proprie credenziali LDAP, che vengono verificate direttamente con il server LDAP.

  4. Verifica dei token e generazione del file kubeconfig: il servizio di identità GKE verifica il token ricevuto (o l'asserzione), crea un nuovo token per l'utente e invia un file kubeconfig contenente il token.

  5. Accesso al cluster: l'utente può accedere al cluster utilizzando i comandi kubectl. Il client kubectl invia automaticamente il token dal file kubeconfig a ogni richiesta.

  6. Convalida dei token e autorizzazione RBAC: il server API Kubernetes riceve il token, il servizio di identità GKE lo verifica e recupera le attestazioni dell'utente (nome utente e gruppi). Dopo la convalida, il server API esegue controlli RBAC per determinare le risorse a cui l'utente è autorizzato ad accedere.

Accedi utilizzando certificati SNI attendibili

I certificati SNI semplificano l'accesso ai cluster sfruttando i certificati attendibili già presenti sui dispositivi aziendali. Gli amministratori possono specificare questo certificato al momento della creazione del cluster. Se il cluster utilizza un certificato SNI attendibile a livello di cluster, utilizza il comando in questa sezione con il nome di dominio completo fornito dall'amministratore per accedere al cluster e ricevere un token di accesso. Puoi anche utilizzare un file kubeconfig sicuro in cui il token viene archiviato dopo l'autenticazione riuscita.

Esegui questo comando per eseguire l'autenticazione sul server:

gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE

Sostituisci quanto segue:

  • APISERVER-URL: nome di dominio completo del server API Kubernetes del cluster.
  • OUTPUT_FILE: utilizza questo flag se il tuo file kubeconfig si trova in una posizione diversa da quella predefinita. Se questo flag viene omesso, i token di autenticazione vengono aggiunti al file kubeconfig nella posizione predefinita. Ad esempio: --kubeconfig /path/to/custom.kubeconfig.

Accedi utilizzando i certificati emessi da CA del cluster

Se non utilizzi un certificato SNI attendibile a livello di cluster, il certificato utilizzato dal servizio di identità viene emesso dall'autorità di certificazione (CA) del cluster. Gli amministratori distribuiscono questo certificato CA agli utenti. Esegui questo comando utilizzando il certificato CA del cluster per accedere al cluster:

gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --login-config-cert CLUSTER_CA_CERTIFICATE

Autenticazione cross-device

L'autenticazione cross-device consente di accedere ai cluster Google Distributed Cloud (GDC) da dispositivi su cui non è installato un browser. Puoi avviare il processo di autenticazione sul tuo dispositivo principale (su cui non è installato un browser) e completarlo su un dispositivo secondario installato con un browser.

Per configurare l'autenticazione cross-device, segui questi passaggi.

  1. Accedere al dispositivo principale

    Esegui questo comando per autenticarti sul server sul tuo dispositivo principale. Specifica l'argomento --no-browser per indicare che sul dispositivo da cui devi accedere al cluster non è installato un browser.

    gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --no-browser

    GKE Identity Service restituisce un comando che devi utilizzare quando accedi dal secondo dispositivo. Ecco un esempio di come si presenta il comando:

    You are authorizing gcloud CLI without access to a web browser. Please run the following command on a machine with a web browser and copy its output back here.

gcloud auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --remote-bootstrap="URL_TO_COPY_ON_THE_SECOND_DEVICE"

Enter the output of the above command:

    Copia il comando gcloud.

  2. Accedere ai cluster sul secondo dispositivo

    Prima di accedere dal secondo dispositivo, verifica di avere installato il browser e di disporre della connettività di rete al server API Kubernetes. Esegui il comando che hai copiato nel passaggio precedente sul secondo dispositivo.

    gcloud auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --remote-bootstrap="URL_TO_COPY_ON_THE_SECOND_DEVICE"

    Quando tenti di accedere da questo dispositivo, viene visualizzato un messaggio di avviso. Segui la procedura di autenticazione standard visualizzata sul browser. Dopo un'autenticazione riuscita, riceverai un codice monouso. Copia questo codice.

    WARNING: The following line enables access to your Cluster resources. ONLY COPY IT TO A MACHINE YOU TRUST AND RUN 'gcloud auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --no-browser' EARLY ON.

Or_mHYQFm90efgJdwhajx0KeC_WXkuvBPuWv_83nFX9J_Eawm3tQcBpxBBWszj6Ix8dAWCgc1QjJBrlt67bzIYIBTexU7dc_ggtkMTNkG7wCIGYZ75zfg9P1gBshP33STe0ks-AoVonzk01YekMbyNugeYSO18CBwFhaDDSMABq4PI-clgbaSh8CPqrvDKRLenbvfD9BSK6SW945I0bOgPURxNzUX4sICWcvFozhQdLYICuwRM0AgarNFwoeh-0wbJGyRqUjq2NJbaYdf-VCaByiZaGPR2B1QVGXO7deKGtUnk1_tTFOnB6sJQvT6UJ8Ge5nkR38rqBeeGkYdlVIBTXShENG80An1Ve524xZupSzCHNSVTJqYg

  3. Completa l'accesso sul dispositivo principale

    Incolla nel prompt del dispositivo principale il codice copiato dal passaggio precedente.

    Enter the code you received on the other device: Or_mHYQFm90efgJdwhajx0KeC_WXkuvBPuWv_83nFX9J_Eawm3tQcBpxBBWszj6Ix8dAWCgc1QjJBrlt67bzIYIBTexU7dc_ggtkMTNkG7wCIGYZ75zfg9P1gBshP33STe0ks-AoVonzk01YekMbyNugeYSO18CBwFhaDDSMABq4PI-clgbaSh8CPqrvDKRLenbvfD9BSK6SW945I0bOgPURxNzUX4sICWcvFozhQdLYICuwRM0AgarNFwoeh-0wbJGyRqUjq2NJbaYdf-VCaByiZaGPR2B1QVGXO7deKGtUnk1_tTFOnB6sJQvT6UJ8Ge5nkR38rqBeeGkYdlVIBTXShENG80An1Ve524xZupSzCHNSVTJqYg

    Il dispositivo utilizza questo codice per generare una credenziale che viene salvata in un file kubeconfig. Questo file consente l'accesso al cluster sul dispositivo principale. Dopo aver eseguito l'accesso, viene visualizzato il seguente messaggio:

     You are logged in!
 Context is stored under the name '{cluster-name}'