Questa pagina è stata tradotta dall'API Cloud Translation.

Configura GKE Identity Service per un parco risorse

Un parco risorse in Google Cloud è un gruppo logico di cluster Kubernetes e altre risorse che possono essere gestiti insieme, creati registrando i cluster in Google Cloud. La configurazione a livello di parco risorse per GKE Identity Service si basa sulla potenza dei parchi risorse per consentire agli amministratori di configurare l'autenticazione con i provider di identità preferiti per uno o più cluster GKE contemporaneamente, mantenendo la configurazione dell'autenticazione mantenuta da GKE Enterprise e archiviata in Google Cloud.

Questa guida spiega come configurare GKE Identity Service a livello di parco risorse per tipi di cluster e ambienti supportati.

Questa guida presuppone che tu abbia letto la Panoramica di GKE Identity Service, che tu abbia già familiarità con alcuni concetti di base del parco risorse e con la registrazione dei cluster in Google Cloud. In caso contrario, puoi trovare ulteriori informazioni nella guida dei parchi risorse e in Registrazione di un cluster.

Prerequisiti

Tipi di cluster

Per la configurazione a livello di parco risorse sono supportati i seguenti tipi di cluster e ambienti:

GKE su VMware, versione 1.8.2 o successive
GKE su Bare Metal, versione 1.8.3 o successive
GKE su Azure
GKE su AWS con Kubernetes 1.21 o versioni successive,
Cluster GKE su Google Cloud in cui è abilitato Identity Service for GKE. Segui le istruzioni in Servizio di identità per GKE per abilitare la funzionalità prima di configurare l'autenticazione per il cluster.

Il tipo di cluster e l'ambiente seguenti sono supportati per la configurazione a livello di parco risorse attualmente in pre-GA:

Cluster collegati ad Amazon Elastic Kubernetes Service (Amazon EKS)

Puoi scoprire come registrare i cluster collegati nella guida alla configurazione dei cluster collegati.

Altri tipi di cluster e ambienti supportati da GKE Identity Service richiedono ancora la configurazione per cluster.

Puoi utilizzare la configurazione per cluster anche se usi una versione precedente dei cluster GKE e se hai bisogno di funzionalità di GKE Identity Service che non sono ancora supportate con la gestione del ciclo di vita a livello di parco risorse.

Tipi di provider di identità

Se configuri il servizio di identità GKE a livello di parco risorse, puoi utilizzare solo provider di identità OpenID Connect (OIDC).

Se vuoi utilizzare un provider di identità LDAP, consulta la sezione Configurare GKE Identity Service con LDAP per scoprire come farlo per i singoli cluster.

Panoramica della configurazione

La configurazione di GKE Identity Service a livello di parco risorse prevede i seguenti utenti e passaggi:

L'amministratore della piattaforma registra GKE Identity Service come applicazione client con il suo provider di identità preferito e ottiene un ID client e un secret. Per farlo, segui le istruzioni in Configurare i provider OIDC per GKE Identity Service.
L'amministratore del cluster configura i cluster per l'utilizzo del servizio. Per farlo, segui le istruzioni in Configurare i cluster per il servizio GKE Identity.
L'amministratore del cluster configura l'accesso degli utenti e, facoltativamente, configura il controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes per gli utenti nei cluster. Per farlo, segui le istruzioni riportate in Configurare l'accesso degli utenti per GKE Identity Service.