GKE Identity Service für eine Flotte einrichten

Eine Flotte in Google Cloud ist eine logische Gruppe von Kubernetes-Clustern und anderen Ressourcen, die zusammen verwaltet werden können. Sie werden durch Registrierung von Clustern in Google Cloud mithilfe von Connect erstellt. Die Einrichtung auf Flottenebene für GKE Identity Service baut auf der Leistung von Flotten auf, sodass Administratoren die Authentifizierung mit ihren bevorzugten Identitätsanbietern für einen oder mehrere GKE-Cluster gleichzeitig einrichten können, wobei ihre Authentifizierungskonfiguration von GKE Enterprise verwaltet und in Google Cloud gespeichert wird.

In dieser Anleitung wird erläutert, wie Sie den GKE Identity Service auf Flottenebene für unterstützte Clustertypen und -Umgebungen einrichten.

In dieser Anleitung wird davon ausgegangen, dass Sie den Überblick über den GKE Identity Service gelesen haben und bereits mit einigen grundlegenden Flottenkonzepten und der Registrierung von Clustern bei Google Cloud vertraut sind. Ist dies nicht der Fall, finden Sie weitere Informationen im Flotten-Leitfaden und unter Cluster registrieren.

Vorbereitung

Clustertypen

Die folgenden Clustertypen und Umgebungen werden für die Einrichtung auf Flottenebene unterstützt:

• GKE on VMware, Version 1.8.2 oder höher
• GKE on Bare Metal, Version 1.8.3 oder höher
• GKE on Azure
• GKE on AWS mit Kubernetes 1.21 oder höher
• GKE-Cluster in Google Cloud mit aktiviertem Identity Service for GKE. Folgen Sie der Anleitung unter Identity Service for GKE, um das Feature zu aktivieren, bevor Sie die Authentifizierung für den Cluster konfigurieren.

Der folgende Clustertyp und die folgende Umgebung werden für die Einrichtung auf Flottenebene unterstützt, die sich derzeit in Pre-GA befindet:

• Mit Amazon Elastic Kubernetes Service (Amazon EKS) verbundene Cluster

Informationen zum Registrieren angehängter Cluster finden Sie im Einrichtungsleitfaden für angehängte Cluster.

Für andere von GKE Identity Service unterstützte Clustertypen und -umgebungen ist weiterhin eine clusterspezifische Einrichtung erforderlich.

Sie können die Einrichtung auch pro Cluster verwenden, wenn Sie eine ältere Version von GKE-Clustern verwenden, wenn Sie GKE Identity Service-Funktionen benötigen, die noch nicht mit Lebenszyklusverwaltung auf Fleet-Ebene unterstützt werden.

Typen von Identitätsanbietern

Wenn Sie den GKE Identity Dienst auf Flottenebene konfigurieren, können Sie nur OIDC-Identitätsanbieter (OpenID Connect) verwenden.

Informationen zur Verwendung eines LDAP-Identitätsanbieters finden Sie unter GKE Identity Service mit LDAP einrichten.

Einrichtung: Übersicht

Das Einrichten von GKE Identity Service auf Geräteebene umfasst folgende Nutzer und Schritte:

1. Der Plattformadministrator registriert GKE Identity Service als Clientanwendung bei seinem bevorzugten Identitätsanbieter und erhält eine Client-ID und ein Secret. Folgen Sie dazu der Anleitung unter OIDC-Anbieter für GKE Identity Service konfigurieren.
2. Der Clusteradministrator konfiguriert Cluster für die Verwendung des Dienstes. Folgen Sie dazu der Anleitung unter Cluster für GKE Identity Service konfigurieren.
3. Der Clusteradministrator richtet den Nutzerzugriff ein und konfiguriert optional die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) von Kubernetes für Nutzer in den Clustern. Folgen Sie dazu der Anleitung unter Nutzerzugriff für GKE Identity Service einrichten.