Mit einem voll qualifizierten Domainnamen (FQDN) anmelden

Mit GKE Identity Service können Sie sich über die Befehlszeile mit einem Nutzernamen und einem Passwort eines externen Identitätsanbieters in konfigurierten Clustern anmelden. Folgen Sie der Anleitung auf dieser Seite, wenn Ihr Clusteradministrator Ihnen die Möglichkeit gegeben hat, sich direkt auf dem GKE Identity Service-Server mit einem vollständig qualifizierten Domainnamen (FQDN) zu authentifizieren. Für SAML-Anbieter wird der Anmeldezugriff nur über diesen Authentifizierungsansatz unterstützt.

Dieser Authentifizierungsansatz wird nur für lokale Cluster (Google Distributed Cloud) auf VMware und Bare-Metal ab Version 1.29 unterstützt. Andere Clustertypen werden nicht unterstützt.

Die älteste gcloud CLI-Version, mit der die Anmeldung mit dem bereitgestellten FQDN möglich ist, ist Version 474.0.0.

Anmelde-Workflow

Hier sind die Workflow-Schritte, wenn sich ein Nutzer mit dem FQDN-Zugriffsansatz anmeldet:

  1. Anmeldung initiieren: Der Nutzer führt den Befehl gcloud anthos auth login --server APISERVER-URL aus, um den Anmeldevorgang zu starten.
  2. Auswahl des Identitätsanbieters: Der Nutzer erhält eine Liste der konfigurierten Identitätsanbieter. Der Nutzer wählt den Anbieter aus, unter dem seine Anmeldedaten gespeichert sind.

  3. Authentifizierung über Identitätsanbieter: Der Authentifizierungsprozess unterscheidet sich je nach ausgewähltem Protokoll des Identitätsanbieters:

    • OIDC: Der Nutzer wird zur Anmeldeseite des OIDC-Anbieters weitergeleitet. Nach erfolgreicher Anmeldung sendet der Anbieter einen Code an den GKE Identity Service zurück, der diesen über eine Backkanal-Kommunikation gegen ein Zugriffstoken austauscht.
    • SAML: Der Nutzer wird auf die Anmeldeseite des SAML-Anbieters weitergeleitet. Nach erfolgreicher Anmeldung sendet der Anbieter ein Token (Assertion) direkt an den GKE Identity Service zurück, wodurch ein zusätzlicher Callback vermieden wird.
    • LDAP: Anstatt zu einem externen Anbieter weiterzuleiten, zeigt GKE Identity Service eine Anmeldeseite an, auf der der Nutzer seine LDAP-Anmeldedaten eingibt, die direkt vom LDAP-Server geprüft werden.

  4. Tokenprüfung und kubeconfig-Dateigenerierung: Der GKE Identity Service überprüft das empfangene Token (oder die Assertion), erstellt ein neues Token für den Nutzer und sendet eine kubeconfig-Datei zurück, die dieses Token enthält.

  5. Clusterzugriff: Der Nutzer kann mit kubectl-Befehlen auf den Cluster zugreifen. Der kubectl-Client sendet das Token aus der kubeconfig-Datei automatisch mit jeder Anfrage.

  6. Tokenvalidierung und RBAC-Autorisierung: Der Kubernetes API-Server empfängt das Token, GKE Identity Service prüft dieses Token und ruft die Anforderungen des Nutzers (Nutzername und Gruppen) ab. Nach erfolgreicher Validierung führt der API-Server die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) durch, um die Ressourcen zu bestimmen, auf die der Nutzer zugreifen darf.

Mit vertrauenswürdigen SNI-Zertifikaten anmelden

SNI-Zertifikate vereinfachen den Clusterzugriff. Dazu nutzen sie vertrauenswürdige Zertifikate, die bereits auf Unternehmensgeräten vorhanden sind. Administratoren können dieses Zertifikat bei der Clustererstellung angeben. Wenn Ihr Cluster ein vertrauenswürdiges SNI-Zertifikat auf Clusterebene verwendet, verwenden Sie den Befehl in diesem Abschnitt mit dem von Ihrem Administrator bereitgestellten FQDN, um sich beim Cluster anzumelden und ein Zugriffstoken zu erhalten. Sie können auch eine sichere kubeconfig-Datei verwenden, in der das Token nach erfolgreicher Authentifizierung gespeichert wird.

Führen Sie den folgenden Befehl aus, um sich beim Server zu authentifizieren:

gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE

Ersetzen Sie Folgendes:

  • APISERVER-URL: FQDN des Kubernetes API-Servers des Clusters.
  • OUTPUT_FILE: Verwenden Sie dieses Flag, wenn sich die kubeconfig-Datei nicht am Standardspeicherort befindet. Wenn dieses Flag weggelassen wird, werden am Standardspeicherort Authentifizierungstokens zur Datei kubeconfig hinzugefügt. Beispiel: --kubeconfig /path/to/custom.kubeconfig.

Mit von der Zertifizierungsstelle (Certification Authority) des Clusters ausgestellten Zertifikaten anmelden

Wenn Sie kein vertrauenswürdiges SNI-Zertifikat auf Clusterebene verwenden, wird das vom Identity Service verwendete Zertifikat von der Zertifizierungsstelle (CA, Certificate Authority) des Clusters ausgestellt. Administratoren verteilen dieses CA-Zertifikat an Nutzer. Führen Sie den folgenden Befehl mit dem CA-Zertifikat des Clusters aus, um sich beim Cluster anzumelden:

gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --login-config-cert CLUSTER_CA_CERTIFICATE