Mengautentikasi menggunakan token pembawa
Halaman ini menjelaskan cara menyiapkan autentikasi menggunakan token pembawa untuk login ke cluster terdaftar di luar Google Cloud. Setelah penyiapan, administrator cluster akan dapat login ke cluster dari konsol Google Cloud. Banyak jenis token pembawa, seperti yang ditentukan dalam Autentikasi Kubernetes, didukung. Metode termudah adalah dengan membuat akun layanan Kubernetes (KSA) di cluster, dan menggunakan token pembawanya untuk login.
Metode autentikasi lainnya
Sebagai alternatif untuk menyiapkan autentikasi menggunakan token pembawa, Anda dapat menyiapkan salah satu metode autentikasi berikut, bergantung pada kebutuhan organisasi Anda:
Identitas Google, yang memungkinkan pengguna login menggunakan identitas Google Cloud mereka. Gunakan opsi ini jika pengguna Anda sudah memiliki akses ke Google Cloud dengan Google Identity.
Jika cluster Anda dikonfigurasi untuk menggunakan penyedia identitas OIDC, Anda dapat menggunakannya untuk melakukan autentikasi ke cluster dari konsol Google Cloud. Anda dapat mengetahui cara menyiapkan OIDC untuk cluster GKE dalam panduan berikut:
- Mengonfigurasi cluster untuk Identity Service GKE dengan OIDC. Panduan ini menunjukkan cara menyiapkan autentikasi OIDC di cluster berdasarkan cluster untuk semua jenis cluster GKE.
- Menyiapkan Identity Service GKE untuk fleet. Opsi ini memungkinkan Anda menyiapkan OIDC di tingkat fleet untuk jenis cluster yang didukung. Penyiapan tingkat fleet didukung untuk cluster GKE di Google Cloud, semua jenis cluster GKE, dan cluster terpasang EKS di AWS.
Jika metode autentikasi yang disediakan Google ini tidak sesuai untuk organisasi Anda, ikuti petunjuk di halaman ini untuk menyiapkan autentikasi menggunakan token pembawa.
Memberikan peran IAM untuk akses melalui Konsol Google Cloud
Pengguna yang ingin melihat cluster yang terhubung menggunakan konsol Google Cloud minimal memerlukan peran IAM berikut:
roles/container.viewer. Peran ini memungkinkan pengguna melihat resource penampung di konsol Google Cloud, termasuk halaman Cluster GKE. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat Peran Kubernetes Engine dalam dokumentasi IAM.roles/gkehub.viewer. Peran ini memungkinkan pengguna melihat cluster di luar Google Cloud di konsol Google Cloud. Pengguna tidak memerlukan peran ini jika fleet Anda tidak menyertakan cluster di luar Google Cloud. Untuk mengetahui detail tentang izin yang disertakan dalam peran ini, lihat peran GKE Hub dalam dokumentasi IAM.
Jalankan perintah berikut untuk memberikan peran ini:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='user:EMAIL_ADDRESS' \
--role=roles/container.viewer
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='user:EMAIL_ADDRESS' \
--role=roles/gkehub.viewer
Ganti kode berikut:
PROJECT_ID: project ID dari project host fleet.EMAIL_ADDRESS: alamat email yang terkait dengan akun Google Cloud pengguna.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran IAM, lihat Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.
Mengonfigurasi kontrol akses berbasis peran
Akses ke cluster dikontrol menggunakan kontrol akses berbasis peran (RBAC) Kubernetes.
Sebaiknya Anda atau administrator cluster membuat KSA untuk setiap pengguna yang login ke cluster. Menggunakan token pembawa sama seperti menggunakan sandi, sehingga setiap pengguna harus memiliki akunnya sendiri. Login dengan token pembawa KSA akan menyebabkan semua operasi dijalankan sebagai KSA, yang dibatasi oleh peran RBAC yang dimiliki oleh KSA.
KSA harus memiliki setidaknya peran RBAC berikut di cluster untuk mengaksesnya melalui konsol:
Membuat dan menerapkan peran RBAC cloud-console-reader
Pengguna yang diautentikasi yang ingin mengakses resource cluster di konsol Google Cloud
harus memiliki izin Kubernetes yang relevan untuk melakukannya. Jika tidak ingin memberikan izin yang lebih luas kepada pengguna tersebut, seperti izin admin cluster, Anda dapat membuat peran RBAC kustom yang menyertakan izin minimum untuk melihat node, volume persisten, pod, dan class penyimpanan cluster. Anda dapat menentukan kumpulan izin ini dengan membuat resource ClusterRole RBAC, cloud-console-reader, di cluster.
cloud-console-reader memberikan izin get, list, dan watch kepada penggunanya di node, volume persisten, pod, dan class penyimpanan cluster, yang memungkinkan mereka melihat detail tentang resource ini.
kubectl
Untuk membuat cloud-console-reader ClusterRole dan menerapkannya ke cluster, jalankan
perintah berikut:
cat <<EOF > cloud-console-reader.yaml
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: cloud-console-reader
rules:
- apiGroups: [""]
resources: ["nodes", "persistentvolumes", "pods"]
verbs: ["get", "list", "watch"]
- apiGroups: ["storage.k8s.io"]
resources: ["storageclasses"]
verbs: ["get", "list", "watch"]
EOF
kubectl apply -f cloud-console-reader.yaml
Kemudian, Anda dapat memberikan peran ini kepada KSA seperti yang dijelaskan di bagian berikutnya.
Membuat dan memberikan otorisasi ke KSA
kubectl
Untuk membuat KSA dan mengikat izin ke KSA tersebut, ikuti langkah-langkah berikut:
Buat resource KSA dan
ClusterRoleBindinguntuk mengikatviewdancloud-console-readerKubernetes RBACClusterRoleske KSA:KSA_NAME=KSA_NAME kubectl create serviceaccount ${KSA_NAME} kubectl create clusterrolebinding VIEW_BINDING_NAME \ --clusterrole view --serviceaccount default:${KSA_NAME} kubectl create clusterrolebinding CLOUD_CONSOLE_READER_BINDING_NAME \ --clusterrole cloud-console-reader --serviceaccount default:${KSA_NAME}Ganti kode berikut:
KSA_NAME: nama yang Anda pilih untuk KSAVIEW_BINDING_NAME: nama yang Anda pilih untuk resourceviewClusterRoleBinding; Anda dapat menamainya dengan nama apa pun yang Anda inginkan, tetapi Anda mungkin akan lebih mudah untuk menamainya sesuai dengan KSACLOUD_CONSOLE_READER_BINDING_NAME: nama yang Anda pilih untuk resourcecloud-console-readerClusterRoleBinding; Anda juga dapat memberi nama apa pun yang Anda inginkan
Bergantung pada akses yang harus dimiliki akun layanan, ikat peran tambahan ke KSA. Untuk mengetahui opsi, lihat peran default Kubernetes.
Misalnya, jika Anda ingin men-deploy aplikasi Kubernetes dari Cloud Marketplace, ikat peran
cluster-adminke KSA:kubectl create clusterrolebinding BINDING_NAME \ --clusterrole cluster-admin --serviceaccount default:KSA_NAME
Ganti
BINDING_NAMEdengan nama binding peran cluster untuk akun layanan.
Memberi otorisasi ke akun lain
kubectl
Untuk setiap pengguna atau akun layanan lain yang mendapatkan akses ke cluster,
buat resource ClusterRoleBinding untuk mengikat peran view dan
cloud-console-reader ke akun mereka:
Ikat
viewdancloud-console-readerClusterRoles:ACCOUNT_NAME=ACCOUNT_NAME kubectl create clusterrolebinding VIEW_BINDING_NAME \ --clusterrole view --serviceaccount default:${ACCOUNT_NAME} kubectl create clusterrolebinding CLOUD_CONSOLE_READER_BINDING_NAME \ --clusterrole cloud-console-reader --serviceaccount default:${ACCOUNT_NAME}Ganti kode berikut:
ACCOUNT_NAME: akun layanan KubernetesVIEW_BINDING_NAME: nama yang Anda pilih untuk resourceviewClusterRoleBinding; Anda dapat menamainya dengan nama apa pun yang Anda inginkan, tetapi Anda mungkin merasa lebih mudah untuk menamainya sesuai dengan pengguna atau akun layananCLOUD_CONSOLE_READER_BINDING_NAME: nama yang Anda pilih untuk resourceviewClusterRoleBinding; Anda juga dapat memberi nama apa pun yang Anda inginkan
Ikat peran tambahan, bergantung pada akses yang harus dimiliki akun. Untuk mengetahui opsi, lihat peran default Kubernetes.
Misalnya, untuk mengikat peran
cluster-admin, jalankan perintah berikut:kubectl create clusterrolebinding BINDING_NAME \ --clusterrole cluster-admin --serviceaccount default:ACCOUNT_NAME
Ganti
BINDING_NAMEdengan nama binding peran cluster untuk akun layanan.
Mendapatkan token pembawa KSA
kubectl
Untuk mendapatkan token pembawa KSA, jalankan perintah berikut:
SECRET_NAME=KSA_NAME-token
kubectl apply -f - << __EOF__
apiVersion: v1
kind: Secret
metadata:
name: "${SECRET_NAME}"
annotations:
kubernetes.io/service-account.name: "${KSA_NAME}"
type: kubernetes.io/service-account-token
__EOF__
until [[ $(kubectl get -o=jsonpath="{.data.token}" "secret/${SECRET_NAME}") ]]; do
echo "waiting for token..." >&2;
sleep 1;
done
kubectl get secret ${SECRET_NAME} -o jsonpath='{$.data.token}' | base64 --decode
Ganti KSA_NAME dengan nama yang Anda pilih untuk KSA.
Dari output perintah ini, salin token dan simpan agar pengguna dapat menggunakan token untuk login ke konsol Google Cloud.