Menyiapkan gateway Connect dengan identitas pihak ketiga

Panduan ini ditujukan bagi administrator platform yang perlu menyiapkan gateway Connect dalam project yang berisi pengguna yang tidak memiliki identitas Google dan tidak termasuk dalam Google Workspace. Dalam panduan ini, identitas ini disebut sebagai "identitas pihak ketiga". Sebelum membaca panduan ini, Anda harus memahami dengan konsep dalam Ringkasan gateway menghubungkan. Untuk memberikan otorisasi ke Akun Google perorangan, lihat Menyiapkan gateway Connect. Untuk mendapatkan dukungan Google Grup, lihat Menyiapkan gateway Hubungkan dengan Google Grup.

Penyiapan dalam panduan ini memungkinkan pengguna login ke cluster fleet menggunakan Google Cloud CLI, gateway Connect, dan Konsol Google Cloud.

Jenis cluster yang didukung

Anda dapat menyiapkan kontrol akses dengan identitas pihak ketiga melalui Connect untuk jenis cluster terdaftar berikut:

  • Cluster GKE
  • Google Distributed Cloud (khusus software) di VMware dan bare metal dari Anthos (GKE Enterprise) 1.13 dan yang lebih baru
  • GKE di AWS dan GKE di Azure dari Kubernetes versi 1.25 dan yang lebih baru.
  • Cluster terpasang dari Anthos (GKE Enterprise) 1.16 dan yang lebih baru.

Jika Anda perlu mengupgrade cluster lokal untuk menggunakan fitur ini, lihat Mengupgrade cluster GKE Enterprise untuk VMWare dan Mengupgrade cluster GKE Enterprise pada bare metal.

Jika Anda memiliki kasus penggunaan untuk lingkungan cluster GKE selain yang yang tercantum di atas, hubungi Cloud Customer Care atau tim Connect gateway.

Cara kerjanya

Seperti yang dijelaskan dalam ringkasan, pengguna mungkin menggunakan penyedia identitas yang bukan Google Workspace atau Cloud Identity. Dengan menggunakan Workforce Identity Federation, pengguna dapat menggunakan penyedia identitas pihak ketiga, seperti Okta atau Azure Active Directory, untuk mendapatkan akses ke cluster mereka melalui Connect Gateway. Tidak seperti Akun Google, pengguna pihak ketiga diwakili oleh akun utama Identity and Access Management (IAM) yang mengikuti format:

principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE
  • WORKFORCE_POOL_ID adalah nama kumpulan tenaga kerja yang berisi penyedia identitas pihak ketiga yang relevan.

  • SUBJECT_VALUE adalah pemetaan identitas pihak ketiga ke subjek Google.

Untuk grup pihak ketiga, akun utama IAM mengikuti format:

principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_VALUE

Diagram berikut menunjukkan alur standar untuk pengguna pihak ketiga yang mengautentikasi ke dan menjalankan perintah terhadap cluster yang mengaktifkan layanan ini. Agar alur ini berhasil, kebijakan role-based access control (RBAC) perlu diterapkan di cluster untuk pengguna atau grup.

Untuk pengguna perorangan, kebijakan RBAC yang menggunakan nama utama IAM lengkap pengguna harus ada di cluster.

Jika menggunakan fungsi grup, kebijakan RBAC yang menggunakan nama utama IAM lengkap harus ada di cluster untuk grup yang:

  1. Berisi pengguna alice@example.com sebagai anggota.

  2. Disertakan dalam pemetaan untuk penyedia identitas dalam kumpulan tenaga kerja yang ada di Organisasi Google Cloud Alice.

Diagram yang menunjukkan alur identitas pihak ketiga gateway

  1. Pengguna alice@example.com login ke gcloud dengan identitas pihak ketiganya menggunakan login berbasis browser pihak ketiga. Untuk menggunakan cluster dari command line, pengguna mendapatkan gateway cluster kubeconfig seperti yang dijelaskan dalam Menggunakan gateway Connect.
  2. Pengguna mengirim permintaan dengan menjalankan perintah kubectl atau membuka halaman Workloads atau Object Browser Google Kubernetes Engine di Konsol Google Cloud.
  3. Permintaan diterima oleh gateway Connect, yang menangani permintaan pihak ketiga autentikasi menggunakan Workforce Identity Federation.
  4. Gateway Connect melakukan pemeriksaan otorisasi dengan IAM.
  5. Layanan Connect meneruskan permintaan ke Agen Connect yang berjalan di cluster. Permintaan ini disertai dengan informasi kredensial pengguna untuk digunakan dalam autentikasi dan otorisasi di cluster.
  6. Agen Connect meneruskan permintaan ke server Kubernetes API.
  7. Server Kubernetes API akan meneruskan permintaan tersebut ke GKE Identity Service, yang akan memvalidasi permintaan tersebut.
  8. GKE Identity Service menampilkan informasi pengguna dan grup pihak ketiga ke server Kubernetes API. Server Kubernetes API kemudian dapat menggunakan informasi ini untuk mengizinkan permintaan berdasarkan kebijakan RBAC yang dikonfigurasi di cluster.

Sebelum memulai

  • Pastikan Anda telah menginstal alat command line berikut:

    • Versi terbaru alat command line Google Cloud CLI untuk berinteraksi dengan Google Cloud.
    • Alat command line Kubernetes, kubectl, untuk berinteraksi dengan cluster Anda.

    Jika Anda menggunakan Cloud Shell sebagai lingkungan shell untuk berinteraksi dengan Google Cloud, alat ini akan diinstal untuk Anda.

  • Pastikan Anda telah melakukan inisialisasi gcloud CLI untuk digunakan dengan project Anda.

  • Panduan ini mengasumsikan bahwa Anda memiliki roles/owner dalam project. Jika bukan pemilik project, Anda mungkin memerlukan izin tambahan untuk melakukan beberapa langkah penyiapan.

  • Untuk cluster di luar Google Cloud, GKE Identity Service perlu memanggil Google API dari cluster Anda untuk menyelesaikan autentikasi. Periksa apakah kebijakan jaringan Anda mengharuskan traffic keluar untuk melewati proxy.

Menyiapkan pemetaan atribut identitas pihak ketiga menggunakan Workforce Identity

Pastikan ada kumpulan Tenaga kerja dan penyedia identitas yang disiapkan untuk organisasi Google Cloud Anda dengan mengikuti petunjuk yang sesuai dengan penyedia identitas Anda:

Mengaktifkan API

Untuk menambahkan gateway ke project Anda, aktifkan Connect gateway API dan API dependensi yang diperlukan. Jika pengguna hanya ingin melakukan autentikasi ke cluster menggunakan konsol Google Cloud, Anda tidak perlu mengaktifkan connectgateway.googleapis.com, tetapi perlu mengaktifkan API yang tersisa.

gcloud services enable --project=PROJECT_ID  \
connectgateway.googleapis.com \
anthos.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
cloudresourcemanager.googleapis.com

Menyiapkan GKE Identity Service

Fitur dukungan identitas pihak ketiga gateway Connect menggunakan GKE Identity Service untuk mendapatkan informasi keanggotaan grup dari Google. Anda dapat mengetahui lebih lanjut tentang GKE Identity Service di Memperkenalkan GKE Identity Service.

Jika menggunakan cluster GKE dengan gateway, Anda tidak perlu menyiapkan GKE Identity Service untuk menggunakan dukungan identitas pihak ketiga. Sebagai gantinya, ikuti petunjuk di Mengonfigurasi Google Grup untuk RBAC, dan terus Memberikan peran IAM untuk memberikan akses ke cluster melalui gateway.

Jika Anda menggunakan cluster yang terpasang pada GKE dengan gateway, GKE Identity Service tidak diperlukan untuk dukungan identitas pihak ketiga. Ikuti petunjuk untuk jenis cluster yang Anda pilih guna menyiapkan dukungan identitas pihak ketiga:

Pastikan GKE Identity Service terinstal

GKE Identity Service diinstal secara default di cluster GKE mulai versi 1.7 dan seterusnya (meskipun dukungan identitas pihak ketiga memerlukan versi 1.13 atau yang lebih baru). Anda dapat memastikan bahwa cluster sudah diinstal dengan benar di cluster dengan menjalankan perintah berikut:

kubectl --kubeconfig CLUSTER_KUBECONFIG get all -n anthos-identity-service

Ganti CLUSTER_KUBECONFIG dengan jalur ke kubeconfig cluster.

Mengonfigurasi dukungan identitas pihak ketiga untuk grup

Jika cluster atau fleet Anda sudah dikonfigurasi untuk dukungan Google Grup, tidak ada langkah tambahan dan Anda dapat langsung membuka bagian Memberikan peran IAM ke pengguna dan grup pihak ketiga.

Jika Anda menggunakan Google Distributed Cloud di VMware atau bare metal, cara Anda menyiapkan GKE Identity Service menentukan cara Anda perlu mengonfigurasi fitur grup pihak ketiga.

Jika menggunakan GKE Identity Service untuk pertama kalinya, Anda dapat memilih antara mengonfigurasi dukungan grup pihak ketiga menggunakan Fleet API (direkomendasikan) atau menggunakan kubectl.

Jika Anda bukan pengguna pertama kali GKE Identity Service, perhatikan salah satu hal berikut:

  • Jika Anda telah menyiapkan GKE Identity Service untuk penyedia identitas lain di tingkat fleet, fitur grup pihak ketiga diaktifkan untuk Anda secara default. Lihat bagian Armada di bawah untuk detail selengkapnya dan penyiapan tambahan yang mungkin Anda perlukan.
  • Jika Anda sudah menyiapkan GKE Identity Service untuk penyedia identitas lain berdasarkan per cluster, lihat bagian Kubectl di bawah untuk mengetahui petunjuk cara memperbarui konfigurasi Anda untuk fitur grup pihak ketiga.

Fleet

Anda dapat menggunakan konsol atau command line Google Cloud untuk mengonfigurasi akses ke grup pihak ketiga menggunakan Fleet Feature API.

Konsol

Jika Anda belum pernah menyiapkan GKE Identity Service untuk fleet, ikuti petunjuk dalam Mengonfigurasi cluster untuk GKE Identity Service.

Pilih cluster dan perbarui konfigurasi

  1. Di konsol Google Cloud, buka halaman Feature Manager.

    Buka Feature Manager

  2. Klik Details di panel Identity Service. Detail cluster project Anda akan ditampilkan.

  3. Klik Update identity service untuk membuka panel penyiapan.

  4. Pilih cluster yang ingin Anda konfigurasi. Anda dapat memilih cluster satu per satu, atau menentukan bahwa Anda ingin semua cluster dikonfigurasi dengan konfigurasi identitas yang sama.

  5. Di bagian Configure Identity Provider, Anda dapat memilih untuk mempertahankan, menambahkan, memperbarui, atau menghapus penyedia identitas.

  6. Klik Continue untuk melanjutkan ke langkah konfigurasi berikutnya. Jika Anda telah memilih setidaknya satu cluster yang memenuhi syarat untuk penyiapan ini, bagian Autentikasi Google akan ditampilkan.

  7. Pilih Enable untuk mengaktifkan autentikasi Google bagi cluster yang dipilih. Jika Anda perlu mengakses penyedia identitas Google melalui proxy, masukkan detail Proxy.

  8. Klik Update Configuration. Tindakan ini akan menerapkan konfigurasi identitas pada cluster yang Anda pilih.

gcloud

Jika Anda belum pernah menyiapkan GKE Identity Service untuk fleet, ikuti petunjuk dalam Mengonfigurasi cluster untuk GKE Identity Service. Tentukan hanya konfigurasi berikut di file auth-config.yaml Anda:

spec:
  authentication:
  - name: google-authentication-method
    google:
      disable: false

Mengonfigurasi akses grup pihak ketiga menggunakan proxy

Jika Anda perlu mengakses penyedia identitas melalui proxy, gunakan kolom proxy di file auth-config.yaml. Anda mungkin perlu menyetelnya jika, misalnya, cluster Anda berada dalam jaringan pribadi dan perlu terhubung ke penyedia identitas publik. Anda harus menambahkan konfigurasi ini meskipun sudah mengonfigurasi GKE Identity Service untuk penyedia lain.

Untuk mengonfigurasi proxy, berikut cara memperbarui bagian authentication dari file konfigurasi auth-config.yaml yang ada.

  spec:
    authentication:
    - name: authentication-method
      google:
        disable: false
      proxy: PROXY_URL

di mana

  • disable (opsional) menunjukkan apakah Anda ingin mengaktifkan atau menonaktifkan fitur grup pihak ketiga untuk cluster. Nilai ini ditetapkan ke false secara default. Jika memilih untuk tidak menggunakan fitur ini, Anda dapat menyetelnya ke true.

  • PROXY_URL (opsional) adalah alamat server proxy untuk terhubung ke identitas Google. Contoh: http://user:password@10.10.10.10:8888

Terapkan konfigurasi:

Untuk menerapkan konfigurasi ke cluster, jalankan perintah berikut:

gcloud container fleet identity-service apply \
--membership=CLUSTER_NAME \
--config=/path/to/auth-config.yaml

di mana

CLUSTER_NAME adalah nama keanggotaan unik cluster Anda dalam fleet.

Setelah diterapkan, konfigurasi ini akan dikelola oleh GKE Identity Service pengontrol. Setiap perubahan lokal yang dilakukan pada konfigurasi klien GKE Identity Service direkonsiliasi kembali oleh pengontrol ke konfigurasi yang ditentukan dalam pengaturan ini.

Kubectl

Untuk mengonfigurasi cluster Anda agar dapat menggunakan GKE Identity Service dengan fitur grup pihak ketiga, Anda perlu mengupdate GKE Identity Service ClientConfig cluster. Ini adalah jenis resource kustom (CRD) Kubernetes yang digunakan untuk konfigurasi cluster. Setiap cluster GKE Enterprise memiliki resource ClientConfig bernama default di kube-public yang diperbarui dengan detail konfigurasi Anda.

Untuk mengedit konfigurasi, gunakan perintah berikut.

kubectl --kubeconfig CLUSTER_KUBECONFIG -n kube-public edit clientconfig default

Jika ada beberapa konteks dalam kubeconfig, konteks saat ini akan digunakan. Anda mungkin perlu mereset konteks saat ini ke cluster yang benar sebelum menjalankan perintah.

Berikut contoh cara mengupdate ClientConfig dengan metode autentikasi yang memiliki konfigurasi jenis google untuk mengaktifkan fitur grup pihak ketiga. Jika kolom internalServer kosong, pastikan kolom tersebut disetel ke https://kubernetes.default.svc, sebagaimana ditunjukkan di bawah ini.

spec:
  authentication:
  - google:
      audiences:
      - "CLUSTER_IDENTIFIER"
    name: google-authentication-method
    proxy: PROXY_URL
  internalServer: https://kubernetes.default.svc

di mana

CLUSTER_IDENTIFIER (wajib) menunjukkan detail keanggotaan cluster Anda. Anda dapat mengambil detail keanggotaan cluster menggunakan perintah:

kubectl --kubeconfig CLUSTER_KUBECONFIG get memberships membership -o yaml

di mana

CLUSTER_KUBECONFIG adalah jalur ke {i>kubeconfig<i} untuk cluster tersebut. Dalam respons, lihat kolom spec.owner.id untuk mengambil detail keanggotaan cluster.

Berikut adalah contoh respons yang menampilkan detail keanggotaan cluster:

id: //gkehub.googleapis.com/projects/123456789/locations/global/memberships/xy-ab12cd34ef

yang sesuai dengan format berikut: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/MEMBERSHIP

Memberikan peran IAM ke pengguna dan grup pihak ketiga

Identitas pihak ketiga memerlukan peran Google Cloud tambahan berikut untuk berinteraksi dengan cluster yang terhubung melalui gateway:

  • roles/gkehub.gatewayAdmin. Peran ini memungkinkan pengguna mengakses Connect gateway API.
    • Jika pengguna hanya memerlukan akses hanya baca ke cluster yang terhubung, roles/gkehub.gatewayReader dapat digunakan.
    • Jika pengguna memerlukan akses baca/tulis ke cluster yang terhubung, roles/gkehub.gatewayEditor dapat digunakan.
  • roles/gkehub.viewer. Peran ini mengizinkan pengguna untuk melihat keanggotaan cluster yang terdaftar.

Berikut ini cara menambahkan peran yang diperlukan ke identitas individu dan grup yang dipetakan:

Identitas tunggal

Untuk memberikan peran yang diperlukan ke satu identitas untuk project PROJECT_ID, jalankan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=GATEWAY_ROLE \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/gkehub.viewer \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

di mana

  • PROJECT_ID: adalah ID project.
  • GATEWAY_ROLE adalah salah satu dari roles/gkehub.gatewayAdmin, roles/gkehub.gatewayReader, atau gkehub.gatewayEditor.
  • WORKFORCE_POOL_ID: adalah ID kumpulan identitas tenaga kerja.
  • SUBJECT_VALUE: adalah identitas pengguna.

Grup

Untuk memberikan peran yang diperlukan kepada semua identitas dalam grup tertentu untuk project PROJECT_ID, jalankan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=GATEWAY_ROLE \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/gkehub.viewer \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

di mana

  • PROJECT_ID: adalah ID project.
  • GATEWAY_ROLE adalah salah satu dari roles/gkehub.gatewayAdmin, roles/gkehub.gatewayReader, atau gkehub.gatewayEditor.
  • WORKFORCE_POOL_ID: adalah ID kumpulan tenaga kerja.
  • GROUP_ID: adalah grup dalam yang dipetakan google.groups klaim.

Lihat penyiapan untuk Penyedia Identitas Anda yang tercantum di artikel Menyiapkan pemetaan pihak ketiga menggunakan Identitas Tenaga Kerja untuk mendapatkan penyesuaian lebih lanjut, seperti menentukan atribut departemen, saat menerapkan kebijakan RBAC.

Anda dapat mengetahui informasi selengkapnya tentang cara memberikan izin dan peran IAM di artikel Memberikan, mengubah, dan mencabut akses ke resource.

Mengonfigurasi kebijakan role-based access control (RBAC)

Terakhir, setiap server Kubernetes API cluster harus dapat mengizinkan perintah kubectl yang masuk melalui gateway dari grup dan pengguna pihak ketiga yang Anda tentukan. Untuk setiap cluster, Anda perlu menambahkan kebijakan izin RBAC yang menentukan izin yang dimiliki subjek di cluster.

Subjek dalam kebijakan RBAC harus menggunakan format yang sama dengan binding IAM, dengan pengguna pihak ketiga yang diawali dengan principal://iam.googleapis.com/ dan grup pihak ketiga yang dimulai dengan principalSet://iam.googleapis.com/. Jika GKE Identity Service tidak dikonfigurasi untuk cluster, Anda memerlukan kebijakan peniruan identitas selain peran/clusterrole untuk pengguna pihak ketiga. Dalam hal ini, ikuti langkah-langkah penyiapan RBAC ini, dengan menambahkan akun utama pihak ketiga yang dimulai dengan principal://iam.googleapis.com/ sebagai pengguna.

Contoh berikut menunjukkan cara memberikan izin cluster-admin kepada anggota grup pihak ketiga di cluster tempat GKE Identity Service dikonfigurasi. Kemudian, Anda dapat menyimpan file kebijakan sebagai /tmp/admin-permission.yaml dan menerapkannya ke cluster yang terkait dengan konteks saat ini.

cat <<EOF > /tmp/admin-permission.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin-group
subjects:
- kind: Group
  name: "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP"
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
EOF
# Apply permission policy to the cluster.
kubectl apply --kubeconfig=KUBECONFIG_PATH -f /tmp/admin-permission.yaml

Anda dapat mengetahui lebih lanjut cara menentukan izin RBAC di Menggunakan otorisasi RBAC.

Apa langkah selanjutnya?