Questo documento è rivolto agli amministratori della piattaforma responsabili della configurazione e della gestione dell'identità all'interno dell'organizzazione. Se sei un amministratore del cluster o un operatore dell'applicazione, chiedi all'amministratore della piattaforma di completare la configurazione descritta qui prima di configurare i singoli cluster o utilizzare la configurazione del parco risorse.
Prima di iniziare
Se vuoi che gli amministratori del cluster forniscano l'accesso all'autenticazione utilizzando il nome di dominio completo (FQDN) del server API Kubernetes del cluster (consigliato), procedi nel seguente modo. Altrimenti, puoi passare direttamente alla configurazione del provider di identità. Per saperne di più sui metodi di autenticazione degli utenti, consulta Configurare un metodo di autenticazione per l'accesso degli utenti.
- Configura il servizio di nomi di dominio (DNS) per risolvere il nome di dominio completo scelto negli IP virtuali (VIP) del piano di controllo del cluster. Gli utenti possono accedere al cluster utilizzando questo nome di dominio.
- Utilizza un certificato Server Name Indication (SNI) rilasciato dalla tua autorità di certificazione (CA) aziendale attendibile. Questo certificato menziona specificamente il tuo FQDN come dominio valido, eliminando potenziali avvisi relativi ai certificati per gli utenti. Puoi fornire il certificato SNI durante la creazione del cluster. Per ulteriori informazioni sulla specifica dei certificati SNI, vedi Autenticazione dei certificati SNI.
- Se i certificati SNI non sono fattibili, gli amministratori del cluster devono configurare tutti i dispositivi utente in modo che considerino attendibile il certificato CA del cluster. In questo modo si evitano avvisi relativi ai certificati, ma è necessario distribuire il certificato CA del cluster a tutti gli utenti.
Per maggiori informazioni sull'accesso degli utenti utilizzando questi certificati, consulta Autenticazione mediante accesso FQDN.
Configura il provider di identità
La configurazione di GKE Identity Service dipende dal provider di identità che scegli di utilizzare. Per iniziare, scegli il fornitore appropriato che vuoi configurare: