Este documento está dirigido a administradores de clústeres que ya han configurado sus clústeres para el servicio de identidad de GKE. Proporciona instrucciones sobre cómo configurar y gestionar el acceso de los usuarios a estos clústeres configurados para los desarrolladores y otros usuarios de tu organización.
Hay dos tipos de métodos de autenticación que puedes usar para configurar el acceso de los usuarios a tus clústeres:
- Configuración con acceso FQDN (recomendado): con este método, los usuarios pueden autenticarse directamente en el servidor del servicio de identidad de GKE mediante el nombre de dominio completo (FQDN) del servidor de la API de Kubernetes del clúster. Para obtener más información, consulta Configurar el acceso FQDN.
- Configuración con acceso basado en archivos: con este método, generas un archivo de configuración de inicio de sesión y lo distribuyes entre los usuarios del clúster. Los usuarios pueden iniciar sesión en los clústeres configurados con
gcloudcomandos de autenticación mediante este archivo. Para obtener más información, consulta Configurar el acceso basado en archivos.
Configurar el acceso FQDN (opción recomendada)
En esta sección se explica cómo configurar el acceso de inicio de sesión de los usuarios proporcionándoles la URL (FQDN) de un servidor que se usará para la autenticación. El flujo de autenticación permite que el usuario inicie sesión con su IdP y le proporciona un token que se añade a su archivo kubeconfig para acceder al clúster. Este método de autenticación solo se admite en clústeres on-premise (Google Distributed Cloud) en VMware y bare metal, a partir de la versión 1.29. No se admiten otros tipos de clústeres. Si necesitas configurar la autenticación para clústeres locales con una versión de software anterior compatible o para otros tipos de clústeres, sigue las instrucciones para configurar el acceso basado en archivos.
Antes de compartir el FQDN con los usuarios, asegúrate de que tú o el administrador de tu plataforma hayáis seguido la configuración adecuada, incluida la configuración de DNS del FQDN, y de que hayas proporcionado el FQDN al registrarte en tu proveedor de identidades, si es necesario.
Compartir el FQDN con los usuarios
En lugar de un archivo de configuración, los administradores del clúster pueden compartir el FQDN del servidor de la API de Kubernetes del clúster, como https://apiserver.example.com, con los usuarios. Los usuarios pueden usar este FQDN para iniciar sesión en el clúster.
Configurar las opciones del servicio de identidad
Con esta opción de configuración, puedes configurar la duración del tiempo de vida del token. El identityServiceOptions del CR ClientConfig tiene un parámetro sessionDuration que te permite configurar el tiempo de vida del token (en minutos).
El parámetro sessionDuration tiene un límite inferior de 15 minutos y un límite superior de 1440 minutos (24 horas).
A continuación, se muestra un ejemplo de cómo se ve en el CR ClientConfig:
spec:
identityServiceOptions:
sessionDuration: INT
donde INT es la duración de la sesión en minutos.
Configurar el acceso basado en archivos
Como alternativa al acceso mediante FQDN, los administradores de clústeres pueden generar un archivo de configuración de inicio de sesión y distribuirlo a los usuarios del clúster. Puedes usar esta opción si estás configurando la autenticación en un clúster con una versión o un tipo que no admita el acceso FQDN. Este archivo permite a los usuarios acceder a los clústeres desde la línea de comandos con el proveedor elegido. Este método de autenticación solo se admite en proveedores de OIDC y LDAP.
Generar la configuración de inicio de sesión
Consola
(Solo configuración a nivel de flota)
Copia el comando gcloud que se muestra y ejecútalo para generar el archivo.
gcloud
Si has configurado el clúster mediante la CLI gcloud o necesitas volver a generar el archivo, ejecuta el siguiente comando para hacerlo:
gcloud anthos create-login-config --kubeconfig=KUBECONFIG
donde KUBECONFIG es la ruta al archivo kubeconfig del clúster. Si hay varios contextos en el archivo kubeconfig, se usa el contexto actual. Es posible que tengas que restablecer el contexto actual al clúster correcto antes de ejecutar el comando.
Puedes consultar los detalles de referencia completos de este comando, incluidos los parámetros opcionales adicionales, en la guía de referencia de la CLI de Google Cloud.
El nombre predeterminado del archivo de configuración de inicio de sesión es kubectl-anthos-config.yaml, que es el nombre que espera la interfaz de línea de comandos de Google Cloud cuando se usa el archivo para iniciar sesión. Si quieres cambiarlo por otro nombre, consulta la sección correspondiente en Distribuir la configuración de inicio de sesión.
Para obtener información sobre cómo solucionar problemas relacionados con el acceso de los usuarios, consulta el artículo Solucionar problemas de acceso de los usuarios.
Distribuir la configuración de inicio de sesión
A continuación, se indican algunas formas de distribuir el archivo de configuración:
Aloja el archivo en una URL accesible. Los usuarios pueden especificar esta ubicación con la marca
--login-configal ejecutargcloud anthos auth login, lo que permite que la CLI de Google Cloud obtenga el archivo.Considera la posibilidad de alojar el archivo en un host seguro. Consulta la marca
--login-config-certde gcloud CLI para obtener más información sobre cómo usar certificados PEM para acceder de forma segura a HTTPS.Proporciona el archivo manualmente a cada usuario e indícale dónde debe guardarlo en su máquina local. La CLI de Google Cloud espera encontrar el archivo en una ubicación predeterminada específica del sistema operativo. Si el archivo tiene un nombre o una ubicación no predeterminados, los usuarios deben usar la marca
--login-configpara especificar la ubicación del archivo de configuración al ejecutar comandos en el clúster. Las instrucciones para que los usuarios guarden el archivo se encuentran en Acceder a clústeres con GKE Identity Service.Usa tus herramientas internas para enviar el archivo de configuración de autenticación al ordenador de cada usuario. Google Cloud CLI espera encontrar el archivo en las siguientes ubicaciones, en función del sistema operativo del usuario:
Linux
$HOME/.config/google/anthos/kubectl-anthos-config.yaml
macOS
$HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml
Windows
%APPDATA%\google\anthos\kubectl-anthos-config.yaml