Menyiapkan metode autentikasi untuk akses pengguna

Dokumen ini ditujukan untuk administrator cluster yang telah mengonfigurasi cluster mereka untuk Identity Service GKE. Panduan ini memberikan petunjuk tentang cara menyiapkan dan mengelola akses pengguna ke cluster yang dikonfigurasi ini untuk developer organisasi dan pengguna lainnya.

Ada dua jenis metode autentikasi yang dapat Anda gunakan untuk menyiapkan akses pengguna ke cluster:

  • Menyiapkan dengan akses FQDN (Direkomendasikan): Dengan pendekatan ini, pengguna dapat langsung mengautentikasi ke server Layanan Identitas GKE menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server Kubernetes API cluster. Untuk informasi selengkapnya, lihat Menyiapkan akses FQDN.
  • Menyiapkan dengan akses berbasis file: Dengan pendekatan ini, Anda membuat file konfigurasi login dan mendistribusikannya kepada pengguna cluster. Kemudian, pengguna dapat login ke cluster yang dikonfigurasi dengan perintah autentikasi gcloud menggunakan file ini. Untuk informasi selengkapnya, lihat Menyiapkan akses berbasis file.

Menyiapkan akses FQDN (Direkomendasikan)

Bagian ini memberi tahu Anda cara menyiapkan akses login pengguna dengan memberi pengguna URL (FQDN) untuk digunakan server dalam autentikasi. Alur autentikasi memungkinkan pengguna login dengan IdP-nya dan memberi pengguna token yang ditambahkan ke file kubeconfig untuk mengakses cluster. Pendekatan autentikasi ini hanya didukung untuk cluster lokal (Google Distributed Cloud) di VMware dan bare metal, mulai versi 1.29 dan seterusnya. Jenis cluster lainnya tidak didukung. Jika Anda perlu menyiapkan autentikasi untuk cluster on-premise menggunakan versi software lama yang didukung, atau untuk jenis cluster lainnya, ikuti petunjuk untuk menyiapkan akses berbasis file.

Sebelum membagikan FQDN kepada pengguna, pastikan Anda atau administrator platform telah mengikuti penyiapan yang sesuai, termasuk penyiapan DNS untuk FQDN dan memberikan FQDN sebagai bagian dari pendaftaran ke penyedia identitas Anda jika diperlukan.

Membagikan FQDN kepada pengguna

Sebagai ganti file konfigurasi, administrator cluster dapat membagikan FQDN server Kubernetes API cluster kepada pengguna. Pengguna dapat menggunakan FQDN ini untuk login ke cluster. Format URL untuk login adalah APISERVER-URL, dengan URL berisi FQDN server API.

Contoh format APISERVER-URL adalah https://apiserver.company.com.

Mengonfigurasi opsi Identity Service

Dengan opsi penyiapan ini, Anda dapat mengonfigurasi durasi lifetime token. IdentityServiceOptions di ClientConfig CR memiliki parameter sessionDuration yang memungkinkan Anda mengonfigurasi masa berlaku token (dalam menit). Parameter sessionDuration memiliki batas bawah 15 menit dan batas maksimum 1.440 menit (24 jam).

Berikut adalah contoh tampilannya di CR ClientConfig:

spec:
    IdentityServiceOptions:
      sessionDuration: INT

dengan INT adalah durasi sesi dalam menit.

Menyiapkan akses berbasis file

Sebagai alternatif untuk akses FQDN, administrator cluster dapat membuat file konfigurasi login dan mendistribusikannya kepada pengguna cluster. Sebaiknya gunakan opsi ini jika Anda menyiapkan autentikasi ke cluster dengan versi atau jenis yang tidak mendukung akses FQDN. File ini memungkinkan pengguna mengakses cluster dari command line dengan penyedia yang dipilih. Pendekatan autentikasi ini hanya didukung untuk penyedia OIDC dan LDAP.

Membuat konfigurasi login

Konsol

(Khusus Penyiapan tingkat grup)

Salin perintah gcloud yang ditampilkan dan jalankan untuk membuat file.

gcloud

Jika Anda mengonfigurasi cluster menggunakan gcloud CLI atau jika Anda perlu membuat file lagi, jalankan perintah berikut untuk membuat file:

gcloud anthos create-login-config --kubeconfig=KUBECONFIG

dengan KUBECONFIG adalah jalur ke file kubeconfig untuk cluster. Jika ada beberapa konteks dalam kubeconfig, konteks saat ini akan digunakan. Anda mungkin perlu mereset konteks saat ini ke cluster yang benar sebelum menjalankan perintah.

Anda dapat melihat detail referensi lengkap untuk perintah ini, termasuk parameter opsional tambahan, di panduan referensi Google Cloud CLI.

Nama default untuk file konfigurasi login adalah kubectl-anthos-config.yaml, yang merupakan nama yang diharapkan Google Cloud CLI saat menggunakan file untuk login. Jika Anda ingin mengubahnya menjadi nama non-default, lihat bagian yang relevan di Mendistribusikan konfigurasi login.

Untuk informasi pemecahan masalah terkait akses pengguna, lihat Memecahkan masalah akses pengguna.

Mendistribusikan konfigurasi login

Berikut adalah beberapa cara untuk mendistribusikan file konfigurasi:

  • Hosting file di URL yang dapat diakses. Pengguna dapat menentukan lokasi ini dengan flag --login-config saat menjalankan gcloud anthos auth login, sehingga Google Cloud CLI dapat mendapatkan file.

    Pertimbangkan untuk menghosting file di host yang aman. Lihat flag --login-config-cert gcloud CLI untuk mengetahui informasi selengkapnya tentang penggunaan sertifikat PEM untuk akses HTTPS yang aman.

  • Berikan file secara manual kepada setiap pengguna, dengan informasi tentang tempat menyimpannya di komputer lokal mereka—Google Cloud CLI diharapkan menemukan file di lokasi default khusus OS. Jika file memiliki nama atau lokasi non-default, pengguna Anda harus menggunakan flag --login-config untuk menentukan lokasi file konfigurasi saat menjalankan perintah terhadap cluster. Petunjuk bagi pengguna untuk menyimpan file ada di Mengakses cluster dengan Identity Service GKE.

  • Gunakan alat internal Anda untuk mengirim file konfigurasi autentikasi ke komputer setiap pengguna. Google Cloud CLI akan menemukan file di lokasi berikut, bergantung pada OS pengguna:

    Linux

    $HOME/.config/google/anthos/kubectl-anthos-config.yaml

    macOS

    $HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml

    Windows

    %APPDATA%\google\anthos\kubectl-anthos-config.yaml