Accedi utilizzando un nome di dominio completo (FQDN)

GKE Identity Service ti consente di accedere ai cluster configurati dalla riga di comando utilizzando un nome utente e una password di un provider di identità di terze parti. Segui le istruzioni riportate in questa pagina se l'amministratore del cluster ha scelto di consentirti di autenticarti direttamente sul server GKE Identity Service con un nome di dominio completo (FQDN). Per i provider SAML, l'accesso all'accesso è supportato solo tramite questa autenticazione l'importanza di un approccio umile.

Questo approccio all'autenticazione è supportato solo per i cluster on-prem (Google Distributed Cloud) su VMware e bare metal, dalla versione 1.29. Non sono supportati altri tipi di cluster.

La versione dell'interfaccia a riga di comando gcloud richiesta per accedere con il nome di dominio completo fornito è almeno la versione 477.0.0.

Flusso di lavoro dell'accesso

Ecco i passaggi del flusso di lavoro in cui un utente accede utilizzando l'approccio all'accesso FQDN:

  1. Avvio dell'accesso: l'utente esegue il comando gcloud anthos auth login --server APISERVER-URL per avviare la procedura di accesso.
  2. Selezione del provider di identità: all'utente viene mostrato un elenco di provider di identità configurati. L'utente seleziona il fornitore in cui sono archiviate le sue credenziali.

  3. Autenticazione con il provider di identità: la procedura di autenticazione varia in base al protocollo del provider di identità scelto:

    • OIDC: l'utente viene reindirizzato alla pagina di accesso del provider OIDC. Dopo un dopo aver eseguito l'accesso, il provider restituisce un codice al servizio di identità GKE che lo scambia con un token di accesso tramite una comunicazione back-channel.
    • SAML: l'utente viene reindirizzato alla pagina di accesso del provider SAML. Dopo un accesso riuscito, il provider invia direttamente un token (affermazione) a GKE Identity Service, evitando così un ulteriore callback.
    • LDAP: invece di reindirizzare a un provider esterno, il servizio di identità GKE visualizza una pagina di accesso in cui l'utente inserisce le proprie credenziali LDAP, che viene verificata direttamente con il server LDAP.

  4. Verifica del token e generazione del file kubeconfig: il servizio di identità GKE verifica il token ricevuto (o l'affermazione), crea un nuovo token per l'utente e invia un file kubeconfig contenente questo token.

  5. Accesso al cluster: l'utente può accedere al cluster utilizzando i comandi kubectl. Il client kubectl invia automaticamente il token dal file kubeconfig con ogni richiesta.

  6. Convalida del token e autorizzazione RBAC: il server API Kubernetes riceve il token, GKE Identity Service lo verifica e recupera i claim dell'utente (nome utente e gruppi). Dopo la convalida, il server API esegue controlli di controllo dell'accesso basato sui ruoli (RBAC) per determinare le risorse a cui l'utente è autorizzato ad accedere.

Accedere utilizzando certificati SNI attendibili

I certificati SNI semplificano l'accesso al cluster sfruttando certificati attendibili sono già presenti sui dispositivi aziendali. Gli amministratori possono specificare questo certificato al momento della creazione del cluster. Se il cluster utilizza un certificato SNI attendibile a livello di cluster , utilizza il comando in questa sezione con il nome di dominio completo fornito amministratore di accedere al cluster e ricevere un token di accesso. Puoi anche usare un file kubeconfig sicuro in cui viene memorizzato il token dopo l'autenticazione.

Esegui questo comando per eseguire l'autenticazione sul server:

gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE

Sostituisci quanto segue:

  • APISERVER-URL: FQDN del server API di Kubernetes del cluster.
  • OUTPUT_FILE: utilizza questo flag se il file kubeconfig si trova in una posizione diversa da quella predefinita. Se questo flag viene omesso, l'autenticazione vengono aggiunti al file kubeconfig nella posizione predefinita. Ad esempio: --kubeconfig /path/to/custom.kubeconfig.

Accedi utilizzando i certificati emessi da CA del cluster

Se non utilizzi un certificato SNI attendibile a livello di cluster, il certificato utilizzato dal servizio di identità viene emesso dall'autorità di certificazione (CA) del cluster. Gli amministratori distribuiscono questo certificato CA agli utenti. Esegui il seguente comando utilizzando il certificato CA del cluster per accedere al cluster:

gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --login-config-cert CLUSTER_CA_CERTIFICATE

Autenticazione cross-device

L'autenticazione cross-device consente di accedere ai cluster Google Distributed Cloud (GDC) da dispositivi su cui non è installato un browser. Puoi avviare il processo di autenticazione sul tuo dispositivo principale (su cui non è installato un browser) e completarlo su un dispositivo secondario installato con un browser.

Per configurare l'autenticazione tra dispositivi, segui questi passaggi.

  1. Accedere al dispositivo principale

    Esegui il comando seguente per autenticarti al server sul tuo dispositivo principale. Specifica l'argomento --no-browser per indicare che il dispositivo di cui hai bisogno da cui non è installato un browser.

    gcloud anthos auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --no-browser

    GKE Identity Service restituisce un comando da utilizzare quando accedi dal secondo dispositivo. Ecco un esempio di comando:

    You are authorizing gcloud CLI without access to a web browser. Please run the following command on a machine with a web browser and copy its output back here.

gcloud auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --remote-bootstrap="URL_TO_COPY_ON_THE_SECOND_DEVICE"

Enter the output of the above command:

    Copia il comando gcloud.

  2. Accedere ai cluster sul secondo dispositivo

    Prima di accedere dal secondo dispositivo, verifica di avere installato il browser. e disporre di connettività di rete al server API Kubernetes. Esegui il comando copiato dal passaggio precedente sul secondo dispositivo.

    gcloud auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --remote-bootstrap="URL_TO_COPY_ON_THE_SECOND_DEVICE"

    Quando si tenta di accedere da questo dispositivo, viene visualizzato un messaggio di avviso. Segui la procedura di autenticazione standard visualizzata nel browser. Dopo un'autenticazione andata a buon fine, ti verrà fornito un codice una tantum. Copia questo codice.

    WARNING: The following line enables access to your Cluster resources. ONLY COPY IT TO A MACHINE YOU TRUST AND RUN 'gcloud auth login --server APISERVER-URL --kubeconfig OUTPUT_FILE --no-browser' EARLY ON.

Or_mHYQFm90efgJdwhajx0KeC_WXkuvBPuWv_83nFX9J_Eawm3tQcBpxBBWszj6Ix8dAWCgc1QjJBrlt67bzIYIBTexU7dc_ggtkMTNkG7wCIGYZ75zfg9P1gBshP33STe0ks-AoVonzk01YekMbyNugeYSO18CBwFhaDDSMABq4PI-clgbaSh8CPqrvDKRLenbvfD9BSK6SW945I0bOgPURxNzUX4sICWcvFozhQdLYICuwRM0AgarNFwoeh-0wbJGyRqUjq2NJbaYdf-VCaByiZaGPR2B1QVGXO7deKGtUnk1_tTFOnB6sJQvT6UJ8Ge5nkR38rqBeeGkYdlVIBTXShENG80An1Ve524xZupSzCHNSVTJqYg

  3. Completa l'accesso sul dispositivo principale

    Incolla il codice copiato dal passaggio precedente nel prompt del tuo dispositivo principale.

    Enter the code you received on the other device: Or_mHYQFm90efgJdwhajx0KeC_WXkuvBPuWv_83nFX9J_Eawm3tQcBpxBBWszj6Ix8dAWCgc1QjJBrlt67bzIYIBTexU7dc_ggtkMTNkG7wCIGYZ75zfg9P1gBshP33STe0ks-AoVonzk01YekMbyNugeYSO18CBwFhaDDSMABq4PI-clgbaSh8CPqrvDKRLenbvfD9BSK6SW945I0bOgPURxNzUX4sICWcvFozhQdLYICuwRM0AgarNFwoeh-0wbJGyRqUjq2NJbaYdf-VCaByiZaGPR2B1QVGXO7deKGtUnk1_tTFOnB6sJQvT6UJ8Ge5nkR38rqBeeGkYdlVIBTXShENG80An1Ve524xZupSzCHNSVTJqYg

    Il dispositivo utilizza questo codice per generare una credenziale che viene salvata in un kubeconfig file. Questo file consente l'accesso al cluster sull'istanza principale dispositivo. Dopo aver eseguito l'accesso, viene visualizzato il seguente messaggio:

     You are logged in!
 Context is stored under the name '{cluster-name}'