Menyiapkan metode autentikasi untuk akses pengguna

Dokumen ini ditujukan bagi administrator cluster yang telah mengonfigurasi cluster mereka untuk GKE Identity Service. Dokumen ini memberikan petunjuk tentang cara menyiapkan dan mengelola akses pengguna ke cluster yang dikonfigurasi ini untuk developer dan pengguna lain di organisasi Anda.

Ada dua jenis metode autentikasi yang dapat Anda gunakan untuk menyiapkan akses pengguna ke cluster Anda:

  • Siapkan dengan akses FQDN (Direkomendasikan): Dengan pendekatan ini, pengguna dapat langsung mengautentikasi ke server Layanan Identitas GKE menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server Kubernetes API cluster. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akses FQDN.
  • Menyiapkan akses berbasis file: Dengan pendekatan ini, Anda membuat file konfigurasi login dan mendistribusikannya kepada pengguna cluster. Kemudian, pengguna dapat login ke cluster yang dikonfigurasi dengan perintah autentikasi gcloud menggunakan file ini. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akses berbasis file.

Menyiapkan akses FQDN (Direkomendasikan)

Bagian ini menjelaskan cara menyiapkan akses login pengguna dengan memberikan URL (FQDN) server kepada pengguna untuk digunakan dalam autentikasi. Alur autentikasi memungkinkan pengguna login dengan IdP mereka dan memberi pengguna token yang ditambahkan ke file kubeconfig mereka untuk mengakses cluster. Pendekatan autentikasi ini hanya didukung untuk cluster lokal (Google Distributed Cloud) di VMware dan bare metal, mulai dari versi 1.29 dan seterusnya. Jenis cluster lainnya tidak didukung. Jika Anda perlu menyiapkan autentikasi untuk cluster lokal menggunakan versi software lama yang didukung, atau untuk jenis cluster lainnya, ikuti petunjuk untuk menyiapkan akses berbasis file.

Sebelum membagikan FQDN kepada pengguna, pastikan Anda atau administrator platform telah mengikuti penyiapan yang sesuai, termasuk penyiapan DNS untuk FQDN dan memberikan FQDN sebagai bagian dari pendaftaran ke penyedia identitas Anda jika diperlukan.

Membagikan FQDN kepada pengguna

Alih-alih file konfigurasi, administrator cluster dapat membagikan FQDN server Kubernetes API cluster, seperti https://apiserver.example.com, kepada pengguna. Pengguna dapat menggunakan FQDN ini untuk login ke cluster.

Mengonfigurasi opsi Identity Service

Dengan opsi penyiapan ini, Anda dapat mengonfigurasi durasi masa aktif token. identityServiceOptions di CR ClientConfig memiliki parameter sessionDuration yang memungkinkan Anda mengonfigurasi masa aktif token (dalam menit). Parameter sessionDuration memiliki batas bawah 15 menit dan batas maksimum 1440 menit (24 jam).

Berikut adalah contoh tampilannya di CR ClientConfig:

spec:
    identityServiceOptions:
      sessionDuration: INT

dengan INT adalah durasi sesi dalam menit.

Menyiapkan akses berbasis file

Sebagai alternatif untuk akses FQDN, administrator cluster dapat membuat file konfigurasi login dan mendistribusikannya kepada pengguna cluster. Anda dapat menggunakan opsi ini jika Anda menyiapkan autentikasi ke cluster dengan versi atau jenis yang tidak mendukung akses FQDN. File ini memungkinkan pengguna mengakses cluster dari command line dengan penyedia yang dipilih. Pendekatan autentikasi ini hanya didukung untuk penyedia OIDC dan LDAP.

Buat konfigurasi login

Konsol

(Khusus penyiapan tingkat perangkat)

Salin perintah gcloud yang ditampilkan dan jalankan untuk membuat file.

gcloud

Jika Anda mengonfigurasi cluster menggunakan CLI gcloud atau jika Anda perlu membuat file lagi, jalankan perintah berikut untuk membuat file:

gcloud anthos create-login-config --kubeconfig=KUBECONFIG

dengan KUBECONFIG adalah jalur ke file kubeconfig untuk cluster. Jika ada beberapa konteks dalam kubeconfig, konteks saat ini akan digunakan. Anda mungkin perlu mereset konteks saat ini ke cluster yang benar sebelum menjalankan perintah.

Anda dapat melihat detail referensi lengkap untuk perintah ini, termasuk parameter opsional tambahan, dalam panduan referensi Google Cloud CLI.

Nama default untuk file konfigurasi login adalah kubectl-anthos-config.yaml, yang merupakan nama yang diharapkan Google Cloud CLI saat menggunakan file untuk login. Jika Anda ingin mengubahnya menjadi nama non-default, lihat bagian yang relevan di Mendistribusikan konfigurasi login.

Untuk informasi pemecahan masalah terkait akses pengguna, lihat Memecahkan masalah akses pengguna.

Mendistribusikan konfigurasi login

Berikut beberapa cara untuk mendistribusikan file konfigurasi:

  • Hosting file di URL yang dapat diakses. Pengguna dapat menentukan lokasi ini dengan flag --login-config saat menjalankan gcloud anthos auth login, sehingga Google Cloud CLI dapat mengambil file.

    Pertimbangkan untuk menghosting file di host yang aman. Lihat tanda --login-config-cert gcloud CLI untuk mengetahui informasi selengkapnya tentang penggunaan sertifikat PEM untuk akses HTTPS yang aman.

  • Memberikan file secara manual kepada setiap pengguna, dengan informasi tentang tempat untuk menyimpannya di komputer lokal mereka—Google Cloud CLI mengharapkan untuk menemukan file di lokasi default khusus OS. Jika file memiliki nama atau lokasi non-default, pengguna Anda harus menggunakan flag --login-config untuk menentukan lokasi file konfigurasi saat menjalankan perintah terhadap cluster. Petunjuk bagi pengguna untuk menyimpan file ada di Mengakses cluster dengan GKE Identity Service.

  • Gunakan alat internal Anda untuk mengirimkan file konfigurasi autentikasi ke setiap komputer pengguna. Google Cloud CLI mengharapkan untuk menemukan file di lokasi berikut, bergantung pada OS pengguna:

    Linux

    $HOME/.config/google/anthos/kubectl-anthos-config.yaml

    macOS

    $HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml

    Windows

    %APPDATA%\google\anthos\kubectl-anthos-config.yaml