Menyiapkan Identity Service GKE dengan LDAP

Dokumen ini ditujukan bagi administrator cluster atau operator aplikasi yang menyiapkan GKE Identity Service di cluster mereka. Dokumen ini menjelaskan cara menyiapkan Layanan Identitas GKE di cluster Anda dengan penyedia Lightweight Directory Access Protocol (LDAP) pilihan Anda, termasuk Microsoft Active Directory. Hal ini mengasumsikan bahwa Anda atau administrator platform Anda telah mendapatkan detail login untuk penyedia LDAP Anda dengan mengikuti petunjuk di Menyiapkan penyedia LDAP untuk GKE Identity Service. Untuk mengetahui lebih lanjut cara kerja Layanan Identitas GKE dan opsi penyiapan lainnya, lihat ringkasan. Untuk mempelajari cara mengakses cluster menggunakan layanan ini sebagai developer atau pengguna cluster lainnya, lihat Mengakses cluster dengan Layanan Identitas GKE. Layanan Identitas GKE dengan LDAP dapat digunakan dengan deployment Google Distributed Cloud di VMware (cluster pengguna) dan di bare metal saja.

Sebelum memulai

1. Pastikan Anda telah menginstal alat command line berikut:
   • Google Cloud CLI versi terbaru, yang mencakup gcloud, alat command line untuk berinteraksi dengan Google Cloud. Jika Anda perlu menginstal Google Cloud CLI, lihat panduan penginstalan.
   • kubectl untuk menjalankan perintah terhadap cluster Kubernetes. Jika Anda perlu menginstal kubectl, lihat panduan penginstalan. Jika Anda menggunakan Cloud Shell sebagai lingkungan shell untuk berinteraksi dengan Google Cloud, alat ini akan diinstal untuk Anda.
2. Pastikan Anda telah menginisialisasi gcloud CLI untuk digunakan dengan project Anda.

Selama penyiapan ini, Anda mungkin perlu melihat dokumentasi untuk server LDAP Anda. Panduan administrator berikut menjelaskan konfigurasi untuk beberapa penyedia LDAP populer, termasuk tempat menemukan informasi yang Anda butuhkan untuk login ke server LDAP dan mengonfigurasi cluster Anda:

• OpenLDAP
• Azure AD
• Microsoft Active Directory
• LDAP Google

Isi rahasia akun layanan LDAP

GKE Identity Service memerlukan rahasia akun layanan untuk melakukan autentikasi ke server LDAP dan mengambil detail pengguna. Ada dua jenis akun layanan yang diizinkan dalam autentikasi LDAP, autentikasi dasar (menggunakan nama pengguna dan sandi untuk melakukan autentikasi ke server) atau sertifikat klien (menggunakan kunci pribadi klien dan sertifikat klien). Anda atau administrator platform Anda harus memiliki informasi ini tentang penyedia Anda dari mengikuti Menyiapkan penyedia LDAP untuk GKE Identity Service. Agar informasi login server LDAP tersedia untuk Layanan Identitas GKE, Anda harus membuat resource Kubernetes Secret, dengan detail login dari Menyiapkan penyedia LDAP untuk Layanan Identitas GKE. Contoh berikut menunjukkan cara mengonfigurasi Secret untuk kedua jenis akun layanan. Contoh menunjukkan secret yang diterapkan ke namespace anthos-identity-service.

Berikut adalah contoh konfigurasi Secret auth dasar:

apiVersion: v1
kind: Secret
metadata:
  name: SERVICE_ACCOUNT_SECRET_NAME
  namespace: "anthos-identity-service"
type: kubernetes.io/basic-auth     # Make sure the type is correct
data:
  username: USERNAME  # Use a base64-encoded username
  password: PASSWORD  # Use a base64-encoded password

dengan, SERVICE_ACCOUNT_SECRET_NAME adalah nama yang Anda pilih untuk Secret ini. Ganti nilai nama pengguna dan sandi dengan nama pengguna dan sandi yang Anda dapatkan di langkah sebelumnya. USERNAME adalah nama pengguna berenkode base64 PASSWORD adalah sandi berenkode base64

Berikut adalah contoh konfigurasi Secret sertifikat klien:

apiVersion: v1
kind: Secret
metadata:
  name: SERVICE_ACCOUNT_SECRET_NAME
  namespace: anthos-identity-service
type: kubernetes.io/tls            # Make sure the type is correct
data:
  # the data is abbreviated in this example
  tls.crt: |
       MIIC2DCCAcCgAwIBAgIBATANBgkqh ...
  tls.key: |
       MIIEpgIBAAKCAQEA7yn3bRHQ5FHMQ ...

Ganti SERVICE_ACCOUNT_SECRET_NAME dengan nama yang telah Anda pilih untuk Secret ini. Ganti nilai sertifikat dan kunci TLS dengan nilai sertifikat dan kunci yang dienkode yang Anda dapatkan di langkah sebelumnya.

Contoh menunjukkan secret yang diterapkan ke namespace anthos-identity-service, yang merupakan pendekatan yang kami rekomendasikan. Hal ini karena secara default, GKE Identity Service memiliki izin untuk membaca Secret di anthos-identity-service. Jika Anda ingin menggunakan namespace lain, ubah metadata di secret, lalu tambahkan kebijakan RBAC baru untuk memberikan izin kepada Layanan Identitas GKE untuk membaca Secret di namespace tersebut, sebagai berikut:

---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: NAMESPACE
  name: ais-secret-reader-role
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get","list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: ais-secret-reader-role-binding
  namespace: NAMESPACE
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: ais-secret-reader-role
subjects:
- kind: ServiceAccount
  name: default
  namespace: anthos-identity-service
---

Mengonfigurasi cluster

GKE Identity Service menggunakan jenis resource kustom Kubernetes (CRD) khusus untuk mengonfigurasi cluster Anda yang disebut ClientConfig, dengan kolom untuk informasi tentang penyedia identitas dan parameter yang diperlukan untuk menampilkan informasi pengguna. Konfigurasi ClientConfig Anda juga mencakup nama dan namespace rahasia dari Secret yang Anda buat dan terapkan di bagian sebelumnya, sehingga GKE Identity Service dapat melakukan autentikasi ke server LDAP.

Untuk menerapkan konfigurasi ke cluster Anda, edit objek default KRM berjenis clientconfig di namespace kube-public:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG -n kube-public edit clientconfig default

Ganti USER_CLUSTER_KUBECONFIG dengan jalur ke file kubeconfig untuk cluster. Jika ada beberapa konteks dalam kubeconfig, konteks saat ini akan digunakan. Anda mungkin perlu mereset konteks saat ini ke cluster yang benar sebelum menjalankan perintah.

Berikut menunjukkan format untuk konfigurasi ClientConfig:

apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
    - name: NAME_STRING
      ldap:
        host: HOST_NAME
        certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
        connectionType: CONNECTION_TYPE
        serviceAccountSecret:
          name: SERVICE_ACCOUNT_SECRET_NAME
          namespace: NAMESPACE
          type: SECRET_FORMAT
        user:
          baseDN: BASE_DN
          filter: FILTER
          identifierAttribute: IDENTIFIER_ATTRIBUTE
          loginAttribute: LOGIN_ATTRIBUTE
        group:
          baseDN: BASE_DN
          filter: FILTER
          identifierAttribute: IDENTIFIER_ATTRIBUTE

Anda dapat mengonfigurasi beberapa penyedia identitas di ClientConfig sesuai dengan kebutuhan Anda. Hal ini menyederhanakan pengelolaan dan memberikan fleksibilitas, sehingga Anda dapat mengonfigurasi berbagai metode autentikasi dalam resource konfigurasi terpadu. Contoh ClientConfig berikut menentukan beberapa penyedia identitas dalam urutan prioritas autentikasi yang diperlukan.

  apiVersion: v1
  items:
  - apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
  ...
    spec:
      authentication:
      - aws:
          region: us-west-2
        name: AWS Login
      - ldap:
      ...
      - saml:
        ...
      - azureAD:
        ...
      - oidc:
        name: Okta OIDC
        ...
      -oidc:
        name: Google OIDC
        ...

Tabel berikut menjelaskan kolom di CRD ClientConfig:

Apa langkah selanjutnya?

Setelah konfigurasi diterapkan, lanjutkan ke menyiapkan akses pengguna ke cluster dengan GKE Identity Service.