Configura un metodo di autenticazione per l'accesso degli utenti

Questo documento è rivolto agli amministratori di cluster che hanno già configurato il proprio per GKE Identity Service. Troverai istruzioni su come impostare configurare e gestire l'accesso degli utenti a questi cluster configurati per sviluppatori e altri utenti.

Esistono due tipi di metodi di autenticazione che puoi utilizzare per configurare l'accesso utente ai tuoi cluster:

• Configura con accesso FQDN (opzione consigliata): con questo approccio gli utenti possono eseguire l'autenticazione direttamente sul server GKE Identity Service utilizzando il nome di dominio completo (FQDN) del server API Kubernetes del cluster. Per ulteriori informazioni, consulta Configurare l'accesso al nome di dominio completo.
• Configurazione con accesso basato su file: con questo approccio, generi un file di configurazione dell'accesso e lo distribuisci agli utenti del cluster. Gli utenti potranno quindi accedere ai cluster configurati con i comandi di autenticazione gcloud utilizzando questo file. Per ulteriori informazioni, vedi Configurare l'accesso basato su file.

Configura l'accesso al nome di dominio completo (consigliato)

Questa sezione spiega come configurare l'accesso utente fornendo all'utente l'URL (FQDN) per un server da utilizzare per l'autenticazione. Il flusso di autenticazione consente all'utente di accedere con il proprio IdP e fornisce all'utente un token aggiunto al proprio file kubeconfig per l'accesso al cluster. Questo approccio all'autenticazione è supportato solo per i cluster on-premise (Google Distributed Cloud) su VMware e bare metal, a partire dalla versione 1.29. Non sono supportati altri tipi di cluster. Se devi configurare l'autenticazione per cluster on-premise che utilizzano una versione software supportata meno recente o per altri di cluster, segui le istruzioni per configurare l'accesso basato su file.

Prima di condividere il nome di dominio completo con gli utenti, assicurati che tu o l'amministratore della tua piattaforma Aver seguito la configurazione appropriata, inclusa la configurazione del DNS per il nome di dominio completo e l'inserimento del nome di dominio completo durante la registrazione al provider di identità, se necessario.

Condividi il nome di dominio completo con gli utenti

Anziché un file di configurazione, gli amministratori del cluster possono condividere il nome di dominio completo al server API Kubernetes del cluster con gli utenti. Gli utenti possono utilizzare questo nome di dominio completo per accedi al cluster. Il formato dell'URL per l'accesso è APISERVER-URL, dove l'URL contiene il nome di dominio completo del server API.

Un formato di esempio di APISERVER-URL è https://apiserver.company.com.

Configura le opzioni di Identity Service

Con questa opzione di configurazione, puoi configurare per tutta la durata del ciclo di vita. Il IdentityServiceOptions nella RP ClientConfig ha un Parametro sessionDuration che consente di configurare la durata del token (in minuti). Il parametro sessionDuration ha un limite inferiore di 15 minuti e un valore massimo limite di 1440 minuti (24 ore).

Ecco un esempio di come si presenta nella RP ClientConfig:

spec:
    IdentityServiceOptions:
      sessionDuration: INT

dove INT è la durata della sessione in minuti.

Configura l'accesso basato su file

In alternativa all'accesso del nome di dominio completo, gli amministratori del cluster possono generare di configurazione del deployment e distribuirlo agli utenti del cluster. Ti consigliamo di utilizzare questo se stai configurando l'autenticazione in un cluster con una versione o un tipo che non supporta l'accesso al nome di dominio completo. Questo file consente agli utenti di accedere dalla riga di comando con il provider scelto. Questa autenticazione è supportato solo per i provider OIDC e LDAP.

Genera la configurazione dell'accesso

gcloud anthos create-login-config --kubeconfig=KUBECONFIG

Per informazioni sulla risoluzione dei problemi relativi all'accesso degli utenti, vedi Risolvere i problemi di accesso degli utenti.

Distribuisci la configurazione dell'accesso

Di seguito sono riportati alcuni modi per distribuire il file di configurazione:

• Ospita il file su un URL accessibile. Gli utenti possono specificare questa località con --login-config durante l'esecuzione di gcloud anthos auth login, consentendo a Google Cloud CLI di recuperare il file.

  Valuta la possibilità di ospitare il file su un host sicuro. Consulta le --login-config-cert dell'interfaccia alla gcloud CLI per Ulteriori informazioni sull'utilizzo dei certificati PEM per l'accesso HTTPS sicuro.

• Fornisci manualmente il file a ciascun utente, con informazioni su dove salvarlo sulla macchina locale, Google Cloud CLI si aspetta di trovare il file Posizione predefinita specifica del sistema operativo. Se il file ha un nome o una posizione non predefiniti, gli utenti devono utilizzare l'--login-config per specificare la posizione del file di configurazione quando vengono eseguiti i comandi in un cluster Kubernetes. Le istruzioni per gli utenti per salvare il file sono disponibili in Accedere ai cluster con GKE Identity Service.

• Utilizza i tuoi strumenti interni per eseguire il push del file di configurazione dell'autenticazione dal computer di ciascun utente. Google Cloud CLI si aspetta di trovare il file le seguenti posizioni, a seconda del sistema operativo dell'utente:

  Linux

  $HOME/.config/google/anthos/kubectl-anthos-config.yaml

  macOS

  $HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml

  Windows

  %APPDATA%\google\anthos\kubectl-anthos-config.yaml