Configurer GKE Identity Service pour un parc

Un parc dans Google Cloud est un groupe logique de clusters Kubernetes et d'autres ressources qui peuvent être gérés ensemble, créé en enregistrant des clusters dans Google Cloud à l'aide de Connect. La configuration au niveau du parc pour GKE Identity Service s'appuie sur la puissance des parcs de machines virtuelles pour permettre aux administrateurs de configurer l'authentification avec leurs fournisseurs d'identité préférés pour un ou plusieurs clusters GKE simultanément, la configuration de l'authentification étant gérée par GKE Enterprise et stockée dans Google Cloud.

Ce guide explique comment configurer GKE Identity Service au niveau du parc pour les types de clusters et les environnements compatibles.

Dans ce guide, nous partons du principe que vous avez lu la présentation de GKE Identity Service et que vous maîtrisez les concepts de base du parc et comment enregistrer des clusters dans Google Cloud. Si ce n'est pas le cas, consultez le guide sur les parcs et la section Enregistrer un cluster.

Prérequis

Types de clusters

Les types de clusters et les environnements suivants sont compatibles avec la configuration au niveau du parc :

• GKE sur VMware, version 1.8.2 ou ultérieure
• GKE sur Bare Metal, version 1.8.3 ou ultérieure
• GKE sur Azure
• GKE sur AWS exécutant Kubernetes 1.21 ou version ultérieure
• Clusters GKE sur Google Cloud avec Identity Service pour GKE activé. Suivez les instructions de la page Identity Service pour GKE pour activer la fonctionnalité avant de configurer l'authentification pour le cluster.

Le type de cluster et l'environnement suivants sont compatibles avec la configuration au niveau du parc qui est actuellement en pré-DG :

• Clusters associés à Amazon Elastic Kubernetes Service (Amazon EKS)

Pour découvrir comment enregistrer les clusters associés, consultez le guide de configuration des clusters associés.

Les autres types et environnements de clusters compatibles avec GKE Identity Service nécessitent toujours une configuration par cluster.

Vous pouvez également utiliser la configuration par cluster si vous utilisez une version antérieure des clusters GKE ou si vous avez besoin de fonctionnalités de GKE Identity Service qui ne sont pas encore compatibles avec la gestion du cycle de vie au niveau du parc.

Types de fournisseurs d'identité

Si vous configurez GKE Identity Service au niveau du parc, vous ne pouvez utiliser que des fournisseurs d'identité OpenID Connect (OIDC).

Si vous souhaitez utiliser un fournisseur d'identité LDAP, consultez la section Configurer GKE Identity Service avec LDAP pour savoir comment le configurer pour chaque cluster.

Vue d'ensemble de la configuration

La configuration de GKE Identity Service au niveau du parc implique les étapes suivantes :

1. L'administrateur de plate-forme enregistre GKE Identity Service en tant qu'application cliente auprès de son fournisseur d'identité de prédilection, et obtient en retour un ID client et un secret. Pour ce faire, suivez les instructions de la page Configurer des fournisseurs OIDC pour GKE Identity Service.
2. L'administrateur de cluster configure les clusters pour qu'ils utilisent le service. Pour ce faire, suivez les instructions de la page Configurer des clusters pour GKE Identity Service.
3. L'administrateur de cluster configure l'accès des utilisateurs et configure éventuellement le contrôle des accès basé sur les rôles Kubernetes (RBAC) pour les utilisateurs des clusters. Pour ce faire, suivez les instructions de la page Configurer l'accès des utilisateurs à GKE Identity Service.