フリート用に GKE Identity Service を設定する

Google Cloud のフリートとは、Google Cloud にクラスタを登録することで作成される、一元管理可能な Kubernetes クラスタと他のリソースの論理グループです。GKE Identity Service のフリートレベル設定はフリートの機能に基づいて構築されています。管理者は、1 つ以上の GKE クラスタの推奨 ID プロバイダを使用して認証を一度に設定できます。認証構成は GKE によって管理され、Google Cloud に保存されます。

このガイドでは、サポートされているクラスタの種類と環境にフリートレベルで GKE Identity Service を設定する方法について説明します。

このガイドは、GKE Identity Service の概要を読み、基本的なフリートのコンセプトと Google Cloud へのクラスタの登録について十分に理解していることを前提としています。まだ十分に理解していない場合は、フリートガイドとクラスタの登録をご覧ください。

前提条件

クラスタの種類

フリートレベルの設定でサポートされるクラスタの種類と環境は次のとおりです。

• GKE on VMware バージョン 1.8.2 以降
• GKE on Bare Metal バージョン 1.8.3 以降
• GKE on Azure
• Kubernetes 1.21 以降を実行している GKE on AWS
• GKE 用 Identity Service が有効になっている Google Cloud 上の GKE クラスタ。GKE 用 Identity Service の説明に従ってこの機能を有効にしてから、クラスタの認証を構成します。

フリートレベルの設定では、現在 pre-GA のクラスタの種類と環境がサポートされています。

• Amazon Elastic Kubernetes Service（Amazon EKS）接続クラスタ

接続されたクラスタを登録する方法については、接続されたクラスタの設定ガイドをご覧ください。

その他の GKE Identity Service でサポートされるクラスタの種類と環境については、引き続きクラスタごとの設定が必要です。

以前のバージョンの GKE クラスタを使用している場合や、フリートレベルのライフサイクル管理でサポートされていない GKE Identity Service 機能が必要な場合は、クラスタごとの設定を使用することもできます。

ID プロバイダのタイプ

フリートレベルの GKE Identity Service を構成する場合は、OpenID Connect（OIDC） ID プロバイダのみを使用できます。

LDAP ID プロバイダを使用する場合は、LDAP による GKE Identity Service の設定でクラスタごとに設定する方法を確認できます。

設定の概要

フリートレベルで GKE Identity サービスを設定するには、次のユーザーと手順が必要です。

1. プラットフォーム管理者が、GKE Identity Service をクライアント アプリケーションとして目的の ID プロバイダに登録し、クライアント ID とシークレットを取得します。これを行うには、GKE Identity Service の OIDC プロバイダを構成するの説明に従います。
2. クラスタ管理者が Service を使用するようにクラスタを構成します。これを行うには、GKE Identity Service のクラスタを構成するの説明に従います。
3. クラスタ管理者がユーザー アクセスを設定します。また、必要に応じて、クラスタのユーザーに Kubernetes ロールベース アクセス制御（RBAC）を構成します。これを行うには、GKE Identity Service のユーザー アクセスを設定するの説明に従います。