選択した ID プロバイダを構成する
このドキュメントは、組織内の ID の設定と管理を担当するプラットフォーム管理者向けのものです。クラスタ管理者またはアプリケーション オペレータの方においては、ここに記載されている設定の完了をプラットフォーム管理者に依頼してから、個々のクラスタを構成したり、フリート設定を使用したりしてください。
始める前に
クラスタ管理者にクラスタの Kubernetes API サーバーの完全修飾ドメイン名(FQDN)を使って認証アクセスを提供してもらう場合(推奨)は、以下の操作を行ってください。それ以外の場合は、ID プロバイダを構成するに進んでください。ユーザーの認証方法について詳しくは、ユーザー アクセスの認証方法の設定についてのページをご覧ください。
- 選択した完全修飾ドメイン名をクラスタのコントロール プレーンの VIP(仮想 IP アドレス)に解決するように、ドメイン名サービス(DNS)を構成します。ユーザーはこのドメイン名を使用してクラスタにアクセスできます。
- 信頼できる企業の認証局(CA)によって発行された Server Name Indication(SNI)証明書を使用します。この証明書には FQDN が有効なドメインとして明記されているため、証明書に関する警告がユーザーに表示されることはありません。SNI 証明書はクラスタの作成時に指定できます。SNI 証明書の指定について詳しくは、SNI 証明書による認証についてのページをご覧ください。
- SNI 証明書が使用できない場合、クラスタ管理者はすべてのユーザー デバイスがクラスタ CA 証明書を信頼するように構成する必要があります。このように構成することで証明書の警告は回避されますが、クラスタ CA 証明書をすべてのユーザーに配布する必要があります。
これらの証明書を使用したユーザー ログイン アクセスについて詳しくは、FQDN アクセスを使用して認証するをご覧ください。
ID プロバイダを構成する
GKE Identity Service の構成方法は、使用する ID プロバイダによって異なります。まず、構成するプロバイダを以下から選んでください。