Authentifizierungsmethode für den Nutzerzugriff einrichten

Dieses Dokument richtet sich an Clusteradministratoren, die ihre Cluster bereits für GKE Identity Service konfiguriert haben. Dort wird beschrieben, wie Sie den Nutzerzugriff auf diese konfigurierten Cluster für die Entwickler Ihrer Organisation und andere Nutzer einrichten und verwalten.

Es gibt zwei Arten von Authentifizierungsmethoden, mit denen Sie den Nutzerzugriff auf Ihre Cluster einrichten können:

  • Mit FQDN-Zugriff einrichten (empfohlen): Bei diesem Ansatz können sich Nutzer direkt über den voll qualifizierten Domainnamen (FQDN) des Kubernetes API-Servers des Clusters beim GKE Identity Service-Server authentifizieren. Weitere Informationen finden Sie unter FQDN-Zugriff einrichten.
  • Mit dateibasiertem Zugriff einrichten: Bei diesem Ansatz generieren Sie eine Anmeldekonfigurationsdatei und verteilen sie an Clusternutzer. Nutzer können sich dann mithilfe dieser Datei mit gcloud-Authentifizierungsbefehlen in konfigurierten Clustern anmelden. Weitere Informationen finden Sie unter Dateibasierten Zugriff einrichten.

FQDN-Zugriff einrichten (empfohlen)

In diesem Abschnitt erfahren Sie, wie Sie den Nutzeranmeldezugriff einrichten, indem Sie dem Nutzer die URL (FQDN) eines Servers für die Authentifizierung mitteilen. Über den Authentifizierungsablauf kann sich der Nutzer mit seinem IdP anmelden und erhält ein Token, das seiner kubeconfig-Datei für den Zugriff auf den Cluster hinzugefügt wird. Dieser Authentifizierungsansatz wird nur für lokale Cluster (Google Distributed Cloud) auf VMware und Bare-Metal ab Version 1.29 unterstützt. Andere Clustertypen werden nicht unterstützt. Wenn Sie die Authentifizierung für lokale Cluster mit einer älteren unterstützten Softwareversion oder für andere Clustertypen einrichten möchten, folgen Sie der Anleitung zum Einrichten des dateibasierten Zugriffs.

Bevor Sie den FQDN für Nutzer freigeben, müssen Sie oder Ihr Plattformadministrator die entsprechende Einrichtung durchgeführt haben, einschließlich der DNS-Einrichtung für den FQDN und der Angabe des FQDN bei der Registrierung bei Ihrem Identitätsanbieter, falls erforderlich.

FQDN für Nutzer freigeben

Anstatt einer Konfigurationsdatei können Clusteradministratoren den FQDN des Kubernetes API-Servers des Clusters für Nutzer freigeben. Nutzer können sich mit diesem FQDN beim Cluster anmelden. Das URL-Format für die Anmeldung ist APISERVER-URL. Die URL enthält den FQDN des API-Servers.

Ein Beispiel für ein APISERVER-URL-Format ist https://apiserver.company.com.

Optionen des Identitätsdienstes konfigurieren

Mit dieser Einrichtungsoption können Sie die Gültigkeitsdauer des Tokens konfigurieren. Die IdentityServiceOptions in der ClientConfig-Antwortvorlage hat den Parameter sessionDuration, mit dem Sie die Tokenlaufzeit (in Minuten) konfigurieren können. Der Parameter sessionDuration hat ein Minimum von 15 Minuten und ein Maximum von 1.440 Minuten (24 Stunden).

Hier ist ein Beispiel dafür, wie das in der ClientConfig-Antwortvorlage aussieht:

spec:
    IdentityServiceOptions:
      sessionDuration: INT

Dabei ist INT die Sitzungsdauer in Minuten.

Dateibasierten Zugriff einrichten

Als Alternative zum FQDN-Zugriff können Clusteradministratoren eine Anmeldekonfigurationsdatei generieren und an Clusternutzer verteilen. Diese Option kann verwendet werden, wenn Sie die Authentifizierung für einen Cluster mit einer Version oder einem Typ einrichten, die bzw. der keinen FQDN-Zugriff unterstützt. Mit dieser Datei können Nutzer über die Befehlszeile mit dem ausgewählten Anbieter auf Cluster zugreifen. Dieser Authentifizierungsansatz wird nur für OIDC- und LDAP-Anbieter unterstützt.

Anmeldekonfiguration generieren

Console

(nur Einrichtung auf Flottenebene)

Kopieren Sie den angezeigten gcloud-Befehl und führen Sie ihn aus, um die Datei zu generieren.

gcloud

Wenn Sie den Cluster mithilfe der gcloud-Befehlszeile konfiguriert haben oder die Datei noch einmal generieren müssen, führen Sie den folgenden Befehl aus, um die Datei zu generieren:

gcloud anthos create-login-config --kubeconfig=KUBECONFIG

Dabei ist KUBECONFIG der Pfad der kubeconfig-Datei für den Cluster. Wenn die kubeconfig mehrere Kontexte enthält, wird der aktuelle Kontext verwendet. Möglicherweise müssen Sie den aktuellen Kontext auf den richtigen Cluster zurücksetzen, bevor Sie den Befehl ausführen.

Ausführliche Referenzinformationen zu diesem Befehl, einschließlich zusätzlicher optionaler Parameter, finden Sie in der Google Cloud CLI-Referenz.

Der Standardname für die Anmeldekonfigurationsdatei ist kubectl-anthos-config.yaml. Dies ist der Name, den das Google Cloud CLI erwartet, wenn Sie sich mit der Datei anmelden. Wenn Sie einen nicht standardmäßigen Namen ändern möchten, lesen Sie den entsprechenden Abschnitt unter Anmeldekonfiguration verteilen.

Informationen zur Fehlerbehebung im Zusammenhang mit dem Nutzerzugriff finden Sie unter Probleme mit dem Nutzerzugriff beheben.

Anmeldekonfiguration verteilen

Im Folgenden sind einige Möglichkeiten zum Verteilen der Konfigurationsdatei aufgeführt:

  • Hosten Sie die Datei unter einer zugänglichen URL. Nutzer können diesen Speicherort mit dem Flag --login-config angeben, wenn sie gcloud anthos auth login ausführen, wodurch das Google Cloud CLI die Datei abrufen kann.

    Durch Hosten der Datei auf einem sicheren Host. Weitere Informationen zur Verwendung von PEM-Zertifikaten für sicheren HTTPS-Zugriff finden Sie im Flag --login-config-cert der gcloud CLI.

  • Stellen Sie die Datei für jeden Nutzer manuell bereit und geben Sie an, wo sie auf ihrem lokalen Computer gespeichert werden soll. Das Google Cloud CLI erwartet die Datei an einem für das Betriebssystem spezifischen Standardspeicherort. Wenn der Name oder Speicherort der Datei nicht standardmäßig ist, müssen Ihre Nutzer den Speicherort der Konfigurationsdatei mit dem Flag --login-config angeben, wenn Befehle für den Cluster ausgeführt werden. Eine Anleitung zum Speichern der Datei finden Sie unter Mit GKE Identity Service auf Cluster zugreifen.

  • Übertragen Sie mit Ihren internen Tools die Konfigurationsdatei für die Authentifizierung per Push auf den Computer jedes Nutzers. Die Google Cloud CLI erwartet, dass die Datei je nach Nutzerbetriebssystem an folgenden Speicherorten gefunden wird:

    Linux

    $HOME/.config/google/anthos/kubectl-anthos-config.yaml

    macOS

    $HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml

    Windows

    %APPDATA%\google\anthos\kubectl-anthos-config.yaml