Menyiapkan metode autentikasi untuk akses pengguna

Dokumen ini ditujukan untuk administrator cluster yang telah mengonfigurasi cluster GKE untuk GKE Identity Service. Ini memberikan petunjuk tentang cara mengatur dan mengelola akses pengguna ke cluster yang dikonfigurasi ini untuk pengembang dan pengguna lainnya.

Ada dua jenis metode autentikasi yang dapat Anda gunakan untuk menyiapkan akses pengguna ke cluster Anda:

  • Siapkan dengan akses FQDN (Direkomendasikan): Dengan pendekatan ini, pengguna dapat langsung melakukan autentikasi ke server GKE Identity Service menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server Kubernetes API cluster. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akses FQDN.
  • Menyiapkan dengan akses berbasis file: Dengan pendekatan ini, Anda akan membuat file konfigurasi login dan mendistribusikannya kepada cluster pengguna. Selanjutnya, pengguna dapat login ke cluster yang dikonfigurasi dengan perintah autentikasi gcloud menggunakan file ini. Untuk informasi selengkapnya, lihat Menyiapkan akses berbasis file.

Menyiapkan akses FQDN (Direkomendasikan)

Bagian ini memberi tahu Anda cara menyiapkan akses {i>login<i} pengguna dengan memberikan URL (FQDN) untuk server digunakan untuk otentikasi. Alur autentikasi memungkinkan pengguna login dengan IdP dan memberikan token kepada pengguna yang ditambahkan ke file kubeconfig untuk mengakses cluster. Pendekatan autentikasi ini hanya didukung untuk cluster lokal (Google Distributed Cloud) di VMware dan bare metal, mulai versi 1.29 dan seterusnya. Jenis cluster lainnya tidak didukung. Jika Anda perlu menyiapkan otentikasi untuk cluster lokal menggunakan versi software lama yang didukung, atau untuk jenis cluster, ikuti petunjuk untuk menyiapkan akses berbasis file.

Sebelum membagikan FQDN kepada pengguna, pastikan Anda atau administrator platform Anda telah mengikuti penyiapan yang sesuai, termasuk penyiapan DNS untuk FQDN dan memberikan FQDN sebagai bagian dari pendaftaran ke penyedia identitas Anda jika diperlukan.

Bagikan FQDN dengan pengguna

Sebagai ganti file konfigurasi, administrator cluster dapat membagikan FQDN server Kubernetes API cluster dengan pengguna. Pengguna dapat menggunakan FQDN ini untuk login ke cluster. Format URL untuk login adalah APISERVER-URL, dengan URL berisi FQDN server API.

Contoh format APISERVER-URL adalah https://apiserver.company.com.

Mengonfigurasi opsi Layanan Identitas

Dengan opsi penyiapan ini, Anda dapat mengonfigurasi token tanpa batas waktu. IdentityServiceOptions di CR ClientConfig memiliki sessionDuration yang memungkinkan Anda mengonfigurasi masa aktif token (dalam menit). Parameter sessionDuration memiliki batas bawah 15 menit dan maksimum maksimal 1440 menit (24 jam).

Berikut ini contoh tampilannya di CR ClientConfig:

spec:
    IdentityServiceOptions:
      sessionDuration: INT

dengan INT adalah durasi sesi dalam menit.

Menyiapkan akses berbasis file

Sebagai alternatif untuk akses FQDN, administrator cluster dapat membuat informasi login dan mendistribusikannya ke pengguna cluster. Anda mungkin ingin menggunakan jika Anda menyiapkan autentikasi ke cluster dengan suatu versi atau jenis yang tidak mendukung akses FQDN. File ini memungkinkan pengguna mengakses cluster dari baris perintah dengan penyedia yang dipilih. Autentikasi ini pendekatan ini hanya didukung untuk penyedia OIDC dan LDAP.

Membuat konfigurasi login

Konsol

(Khusus Penyiapan tingkat perangkat)

Salin perintah gcloud yang ditampilkan dan jalankan untuk menghasilkan file.

gcloud

Jika Anda mengonfigurasi cluster menggunakan gcloud CLI atau jika Anda perlu membuat lagi, jalankan perintah berikut untuk menghasilkan file:

gcloud anthos create-login-config --kubeconfig=KUBECONFIG

dengan KUBECONFIG merupakan jalur ke file kubeconfig untuk cluster tersebut. Jika ada beberapa konteks dalam kubeconfig, konteks saat ini akan digunakan. Anda mungkin perlu mereset konteks saat ini ke cluster yang benar sebelum menjalankan perintah.

Anda dapat melihat detail referensi lengkap untuk perintah ini, termasuk parameter opsional tambahan, di panduan referensi Google Cloud CLI.

Nama default untuk file konfigurasi login adalah kubectl-anthos-config.yaml, yang merupakan nama yang diharapkan Google Cloud CLI saat menggunakan file untuk login. Jika Anda ingin mengubahnya ke nama non-default, lihat bagian yang relevan pada Mendistribusikan konfigurasi login.

Untuk memecahkan masalah terkait akses pengguna, lihat Memecahkan masalah akses pengguna.

Mendistribusikan konfigurasi login

Berikut adalah beberapa cara untuk mendistribusikan file konfigurasi:

  • Hosting file di URL yang dapat diakses. Pengguna dapat menentukan lokasi ini dengan --login-config flag saat menjalankan gcloud anthos auth login, yang memungkinkan Google Cloud CLI mendapatkan file.

    Pertimbangkan untuk menghosting file pada host yang aman. Lihat Flag --login-config-cert gcloud CLI untuk informasi selengkapnya tentang penggunaan sertifikat PEM untuk akses HTTPS yang aman.

  • Berikan file secara manual kepada setiap pengguna, dengan informasi tempat menyimpannya di komputer lokal mereka—Google Cloud CLI mengharapkan menemukan file di Lokasi default khusus OS. Jika file memiliki nama atau lokasi non-default, pengguna Anda harus menggunakan --login-config untuk menentukan lokasi file konfigurasi saat menjalankan perintah terhadap . Petunjuk bagi pengguna untuk menyimpan file ada di Cluster akses dengan GKE Identity Service.

  • Menggunakan alat internal Anda untuk mengirim file konfigurasi autentikasi ke setiap komputer pengguna. Google Cloud CLI mengharapkan untuk menemukan file di lokasi berikut, bergantung pada OS pengguna:

    Linux

    $HOME/.config/google/anthos/kubectl-anthos-config.yaml

    macOS

    $HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml

    Windows

    %APPDATA%\google\anthos\kubectl-anthos-config.yaml