Risolvere i problemi di accesso degli utenti
Questo documento fornisce indicazioni per la risoluzione dei problemi di accesso degli utenti in GKE Identity Service.
gcloud anthos create-login-config non riesce a recuperare clientconfig
Questo problema si verifica in uno dei seguenti casi:
- Il file kubeconfig passato a
gcloud anthos create-login-confignon è corretto. - La risorsa personalizzata ClientConfig non è presente nel cluster (GKE Identity Service non è installato nel cluster).
Messaggio di errore
failed to get clientconfig default in namespace kube-public
Soluzione
Per risolvere il problema:
- Assicurati di avere il file kubeconfig corretto per il tuo cluster.
Per verificare se la risorsa personalizzata ClientConfig si trova nel cluster, esegui questo comando:
kubectl --kubeconfig KUBECONFIG get clientconfig default -n kube-public
Se ClientConfig non è presente nel cluster, installa e configura GKE Identity Service nel cluster. Per ulteriori informazioni sulle opzioni di configurazione dei cluster, consulta Opzioni di configurazione per i cluster.
gcloud anthos create-login-config non riesce a causa di un nome cluster duplicato
Questo problema si verifica se tenti di creare una configurazione di accesso per un cluster in un file che contiene già una configurazione di accesso per questo cluster.
Messaggio di errore
error merging with file FILENAME because FILENAME contains a
cluster with the same name as the one read from KUBECONFIG.
Soluzione
Per risolvere il problema, utilizza il flag --output per specificare un nuovo file di destinazione.
Se non specifichi --output, questi dati di configurazione di accesso vengono scritti in un
file denominato kubectl-anthos-config.yaml nella directory attuale.
gcloud anthos auth login non riesce con proxyconnect tcp
Questo problema si verifica quando si verifica un errore nelle configurazioni variabile di ambiente https_proxy o HTTPS_PROXY. Se nelle variabili di ambiente è specificato un valore https://, le librerie client HTTP di GoLang potrebbero avere esito negativo se il proxy è configurato per gestire le connessioni HTTPS che utilizzano altri protocolli come SOCK5.
Messaggio di errore
proxyconnect tcp: tls: first record does not look like a TLS handshake
Soluzione
Per risolvere il problema, modifica le variabili di ambiente https_proxy e HTTPS_PROXY
in modo da omettere https:// prefix. Su Windows, modifica le variabili
di ambiente di sistema.
Ad esempio, modifica il valore della variabile di ambiente https_proxy
da https://webproxy.example.com:8000 a
webproxy.example.com:8000.
L'accesso al cluster non riesce quando si utilizza kubeconfig generato da gcloud anthos auth login
Questo problema si verifica quando il server API Kubernetes non è in grado di autorizzare l'utente per uno dei seguenti motivi:
- Si è verificato un errore nella configurazione utilizzata per accedere con il comando
gcloud anthos auth login. - I criteri RBAC necessari sono errati o mancanti per l'utente.
Messaggio di errore
Unauthorized
Soluzione
Per risolvere il problema:
Verifica la configurazione utilizzata per l'accesso.
Configurazione OIDC
La sezione
authentication.oidcnel file di configurazione del cluster utente contiene i campigroupeusernameutilizzati per impostare i flag--oidc-group-claime--oidc-username-claimnel server API Kubernetes. Quando al server API viene presentato il token di identità di un utente, lo inoltra a GKE Identity Service, che restituiscegroup-claimeusername-claimestratti al server API. Il server API utilizza la risposta per verificare che il gruppo o l'utente corrispondente disponga delle autorizzazioni corrette.Verifica che le attestazioni impostate per
groupeusernella sezioneauthentication.oidcdel file di configurazione del cluster siano presenti nel token ID.Verifica i criteri RBAC applicati.
Per scoprire come configurare i criteri RBAC corretti per GKE Identity Service, consulta Configurare controllo dell'accesso basato sui ruoli (RBAC).
RBAC per i gruppi non funzionanti per i provider OIDC
Verifica che il token ID contenga le informazioni sul gruppo
Dopo aver eseguito il comando
gcloud anthos auth loginper avviare il flusso di autenticazione OIDC, il token ID viene archiviato nel filekubeconfignel campoid-token. Utilizza jwt.io per decodificare il token ID e verificare se contiene le informazioni sul gruppo dell'utente, come previsto.Se il token ID non contiene informazioni sul gruppo dell'utente, configura correttamente il provider OIDC in modo da restituire le informazioni sul gruppo in base alla documentazione del provider OIDC. Ad esempio, se utilizzi la configurazione OIDC del provider Okta Identity, segui la documentazione del provider di identità Okta per configurare i gruppi nel token ID.
Se il token ID contiene informazioni sul gruppo, verifica che la chiave delle informazioni sul gruppo nel token ID corrisponda al campo
groupsClaimconfigurato nella sezioneoidc.Ad esempio, se il token ID contiene informazioni sul gruppo nella chiave
groups:"groups" : ["group1", "group2" ...]il valore del campo
groupsClaimdovrebbe esseregroupsnella sezioneoidc.Dopo aver modificato la configurazione nella sezione
oidc, assicurati di eseguire di nuovo le istruzioni elencate in Configurare l'accesso degli utenti e Accesso ai cluster.
Risolvere i problemi relativi ai provider di identità
Se hai problemi a utilizzare OIDC o LDAP con il tuo cluster GKE, segui i passaggi in questa sezione per risolvere i problemi di GKE Identity Service e determinare se si verifica un problema con la configurazione del tuo provider di identità.
Abilita il log di debug di GKE Identity Service
Per risolvere i problemi relativi all'identità nel cluster, abilita il log di debug di GKE Identity Service.
Applica le patch al cluster esistente con
kubectl patch:kubectl patch deployment ais \ -n anthos-identity-service --type=json \ -p='[{"op": "add", "path": "/spec/template/spec/containers/0/args/-", "value":"--vmodule=cloud/identity/hybrid/charon/*=LOG_LEVEL"}]' \ --kubeconfig KUBECONFIGSostituisci quanto segue:
LOG_LEVEL: per i log con il livello di dettaglio più dettagliato, imposta questo valore sul livello3durante la risoluzione dei problemi.KUBECONFIG: il percorso del file kubeconfig del tuo cluster utente.
Controlla il log dei container di GKE Identity Service
Esamina il contenuto dei log dei container di GKE Identity Service per rilevare eventuali errori o avvisi.
Per esaminare i log, utilizza
kubectl logs:kubectl logs -f -l k8s-app=ais \ -n anthos-identity-service \ --kubeconfig KUBECONFIGSostituisci
KUBECONFIGcon il percorso del file kubeconfig del cluster utente.
riavvia il pod GKE Identity Service
Se i log del container mostrano problemi, riavvia il pod GKE Identity Service.
Per riavviare il pod GKE Identity Service, elimina il pod esistente. Viene automaticamente creato un nuovo pod sostitutivo.
kubectl delete pod -l k8s-app=ais \ -n anthos-identity-service \ --kubeconfig KUBECONFIGSostituisci
KUBECONFIGcon il percorso del file kubeconfig del cluster utente.
Risoluzione dei problemi di connettività al provider di identità
Se il pod GKE Identity Service sembra essere in esecuzione correttamente, testa la connettività al provider di identità remoto.
Avvia un pod trafficata nello stesso spazio dei nomi del pod del servizio di identità GKE:
kubectl run curl --image=radial/busyboxplus:curl \ -n anthos-identity-service -- sleep 3000 \ --kubeconfig KUBECONFIGSostituisci
KUBECONFIGcon il percorso del file kubeconfig del cluster utente.Per verificare se puoi recuperare l'URL di rilevamento, esegui nel pod trafficato ed esegui il comando
curl:kubectl exec pod/curl -n anthos-identity-service -- \ curl ISSUER_URL \ --kubeconfig KUBECONFIGSostituisci quanto segue:
ISSUER_URL: l'URL dell'emittente del tuo provider di identità.KUBECONFIG: il percorso del file kubeconfig del tuo cluster utente.
Una risposta corretta è un risultato JSON con gli endpoint del provider di identità dettagliati.
Se il comando precedente non restituisce il risultato previsto, contatta l'amministratore del provider di identità per ulteriore assistenza.
Accesso LDAP non funzionante per il cluster di amministrazione Google Distributed Cloud
LDAP è attualmente supportato solo per il cluster utente Google Distributed Cloud.