GKE Identity Service 概览
GKE Identity Service 是一项身份验证服务,可与现有的身份解决方案集成,让您能够在多个 GKE Enterprise 环境中使用这些身份解决方案。用户可以使用现有的身份提供方,通过命令行或 Google Cloud 控制台访问和管理 GKE 集群。
如果您希望使用 Google ID(而不是身份提供方)登录 GKE 集群,请参阅使用 Connect 网关连接到已注册的集群。
支持的身份提供商
GKE Identity Service 支持以下身份提供方协议,以便在用户尝试访问资源或服务时验证用户身份:
- OpenID Connect (OIDC):OIDC 是一种基于 OAuth 2.0 授权框架的现代轻量级身份验证协议。我们针对常用的 OpenID Connect 提供商(包括 Microsoft)提供了具体的设置说明,但您可以使用任何实施 OIDC 的提供商。
- 安全断言标记语言 (SAML):SAML 是一种基于 XML 的标准,用于在各方之间交换身份验证和授权数据,主要是在身份提供方 (IdP) 和服务提供商 (SP) 之间。您可以使用 GKE Identity Service 通过 SAML 进行身份验证。
- 轻量级目录访问协议 (LDAP):LDAP 是一种成熟的标准化协议,用于访问和管理目录信息服务。它通常用于存储和检索用户信息,例如用户名、密码和群组成员资格。借助 GKE Identity Service,您可以使用 LDAP 和 Active Directory 或 LDAP 服务器进行身份验证。
支持的集群类型
| 协议 | GKE on VMware | GKE on Bare Metal | GKE on AWS | GKE on Azure | EKS 挂接的集群 | GKE |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
不支持将其他关联集群类型与 GKE Identity Service 搭配使用。
设置过程
为集群设置 GKE Identity Service 涉及以下用户和流程步骤:
- 配置提供方:平台管理员向其首选身份提供方将 GKE Identity Service 注册为客户端应用,并获取客户端 ID 和密钥。
- 设置单个集群或设置您的舰队:集群管理员为您的身份服务设置集群。您可以为本地(VMware 和 Bare Metal)GKE 集群以及 AWS 和 Azure 上的 GKE 集群逐个设置 GKE Identity Service。或者,您也可以选择为舰队设置 GKE Identity Service,舰队是集群的逻辑组,可让您在这些集群中启用功能并更新配置。
- 设置用户访问权限:集群管理员使用 FQDN 访问权限(推荐)或基于文件的访问权限方法设置用户登录访问权限以对集群进行身份验证,并可选择为这些集群上的用户配置 Kubernetes 基于角色的访问权限控制 (RBAC)。