GKE Identity Service 개요
GKE Identity Service는 기존 ID 솔루션과 통합되는 인증 서비스로, 여러 GKE Enterprise 환경에서 이러한 ID 솔루션을 사용할 수 있습니다. 사용자는 명령줄이나 Google Cloud 콘솔에서 모두 기존 ID 공급업체를 사용하여 GKE 클러스터에 액세스하고 관리할 수 있습니다.
ID 공급업체 대신 Google ID를 사용하여 GKE 클러스터에 로그인하려면 Connect 게이트웨이로 등록된 클러스터에 연결을 참조하세요.
지원되는 ID 공급업체
GKE Identity Service는 사용자가 리소스 또는 서비스에 액세스하려고 시도할 때 사용자를 확인하고 인증하기 위해 다음과 같은 ID 공급업체 프로토콜을 지원합니다.
- OpenID Connect(OIDC): OIDC는 OAuth 2.0 인증 프레임워크 위에 빌드된 최신의 경량 인증 프로토콜입니다. Google에서는 Microsoft를 비롯한 일부 인기 있는 OpenID Connect 제공업체의 설정을 위한 구체적인 안내를 제공하지만 개발자는 OIDC를 구현하는 모든 제공업체를 사용할 수 있습니다.
- 보안 보장 마크업 언어(SAML): SAML은 당사자 간에 인증 및 승인 데이터를 교환하기 위한 XML 기반 표준으로, 주로 ID 공급업체(IdP)와 서비스 공급업체(SP) 간에 사용됩니다. GKE Identity Service를 사용하여 SAML을 사용하여 인증할 수 있습니다.
- 경량 디렉터리 액세스 프로토콜(LDAP): LDAP는 디렉터리 정보 서비스 액세스 및 관리를 위한 성숙하고 표준화된 프로토콜입니다. 일반적으로 사용자 이름, 비밀번호, 그룹 멤버십 등의 사용자 정보를 저장하고 검색하는 데 사용됩니다. GKE Identity Service를 사용하면 Active Directory의 LDAP 또는 LDAP 서버를 사용하여 인증할 수 있습니다.
지원되는 클러스터 유형
| 프로토콜 | VMware용 GKE | 베어메탈용 GKE | GKE on AWS | Azure용 GKE | EKS 연결된 클러스터 | GKE |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
다른 연결된 클러스터 유형은 GKE Identity Service에서는 지원되지 않습니다.
설정 프로세스
클러스터에 GKE Identity Service를 설정하려면 다음 사용자와 프로세스 단계가 필요합니다.
- 제공업체 구성: 플랫폼 관리자는 선호하는 ID 공급업체에 GKE Identity Service를 클라이언트 애플리케이션으로 등록하고 클라이언트 ID와 보안 비밀을 가져옵니다.
- 개별 클러스터 설정 또는 Fleet 설정: 클러스터 관리자는 ID 서비스를 위한 클러스터를 설정합니다. 온프레미스(VMware 및 베어메탈 모두), AWS, Azure에서 GKE 클러스터에 대해 클러스터 단위로 GKE Identity Service를 설정할 수 있습니다. 또는 이러한 클러스터 간에 기능을 사용 설정하고 구성을 업데이트할 수 있는 논리적 클러스터 그룹인 Fleet에 대해 GKE Identity Service를 설정하도록 선택할 수 있습니다.
- 사용자 액세스 설정: 클러스터 관리자는 사용자 로그인 액세스를 설정하여 FQDN 액세스(권장) 또는 파일 기반 액세스 접근 방식을 사용하여 클러스터에 인증하고, 선택적으로 이러한 클러스터의 사용자에 대한 Kubernetes 역할 기반 액세스 제어(RBAC)를 구성합니다.