Halaman ini diterjemahkan oleh Cloud Translation API.

Menyiapkan gateway Connect dengan identitas pihak ketiga

Panduan ini ditujukan untuk administrator platform yang perlu menyiapkan gateway Connect dalam project yang berisi pengguna yang tidak memiliki identitas Google dan tidak termasuk dalam Google Workspace. Dalam panduan ini, identitas ini disebut sebagai "identitas pihak ketiga". Sebelum membaca panduan ini, Anda harus sudah memahami konsep dalam Ringkasan gateway Connect. Untuk memberikan otorisasi ke Akun Google individual, lihat Menyiapkan gateway Connect. Untuk mendapatkan dukungan Google Grup, lihat Menyiapkan gateway Connect dengan Google Grup.

Dengan penyiapan dalam panduan ini, pengguna dapat login ke cluster fleet menggunakan Google Cloud CLI, gateway Connect, dan Konsol Google Cloud.

Jenis cluster yang didukung

Anda dapat menyiapkan kontrol akses dengan identitas pihak ketiga melalui gateway Connect untuk jenis cluster terdaftar berikut:

Cluster GKE
GKE di VMware dan GKE di Bare Metal dari Anthos (GKE Enterprise) 1.13 dan yang lebih baru
GKE di AWS dan GKE di Azure dari Kubernetes versi 1.25 dan yang lebih baru.
Cluster terpasang dari Anthos (GKE Enterprise) 1.16 dan yang lebih baru.

Jika Anda perlu mengupgrade cluster lokal agar dapat menggunakan fitur ini, lihat Mengupgrade cluster GKE Enterprise untuk VMWare dan Mengupgrade cluster GKE Enterprise on bare metal.

Jika Anda memiliki kasus penggunaan untuk lingkungan cluster GKE selain yang tercantum di atas, hubungi Cloud Customer Care atau tim gateway Connect.

Cara kerjanya

Seperti dijelaskan dalam ringkasan, pengguna mungkin menggunakan penyedia identitas yang bukan merupakan Google Workspace atau Cloud Identity. Dengan menggunakan Workforce Identity Federation, pengguna dapat menggunakan penyedia identitas pihak ketiga, seperti Okta atau Azure Active Directory, untuk mendapatkan akses ke cluster melalui Connect Gateway. Tidak seperti akun Google, pengguna pihak ketiga diwakili oleh akun utama Identity and Access Management (IAM) yang mengikuti format:

principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE

WORKFORCE_POOL_ID adalah nama kumpulan tenaga kerja yang berisi penyedia identitas pihak ketiga yang relevan.
SUBJECT_VALUE adalah pemetaan identitas pihak ketiga ke subjek Google.

Untuk grup pihak ketiga, akun utama IAM mengikuti format:

principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_VALUE

Diagram berikut menunjukkan alur umum untuk pengguna pihak ketiga yang mengautentikasi ke dan menjalankan perintah terhadap cluster yang mengaktifkan layanan ini. Agar alur ini berhasil, kebijakan kontrol akses berbasis peran (RBAC) perlu diterapkan di cluster untuk pengguna atau grup.

Untuk pengguna perorangan, kebijakan RBAC yang menggunakan nama utama IAM lengkap pengguna harus ada di cluster.

Jika menggunakan fungsi grup, kebijakan RBAC yang menggunakan nama utama IAM lengkap harus ada di cluster untuk grup yang:

Berisi pengguna alice@example.com sebagai anggota.
Disertakan dalam pemetaan untuk penyedia identitas dalam kumpulan tenaga kerja yang ada di organisasi Google Cloud Alice.

Diagram yang menunjukkan alur identitas pihak ketiga gateway

Pengguna alice@example.com login ke gcloud dengan identitas pihak ketiganya, menggunakan login berbasis browser pihak ketiga. Untuk menggunakan cluster dari command line, pengguna akan mendapatkan kubeconfig gateway cluster seperti yang dijelaskan dalam Menggunakan gateway Connect.
Pengguna mengirim permintaan dengan menjalankan perintah kubectl atau membuka halaman Workloads atau Object Browser Google Kubernetes Engine di konsol Google Cloud.
Permintaan diterima oleh gateway Connect, yang menangani autentikasi pihak ketiga menggunakan Workforce Identity Federation.
Gateway Connect melakukan pemeriksaan otorisasi dengan IAM.
Layanan Connect meneruskan permintaan ke Agen Connect yang berjalan di cluster. Permintaan tersebut disertai dengan informasi kredensial pengguna untuk digunakan dalam autentikasi dan otorisasi di cluster.
Agen Connect meneruskan permintaan ke server Kubernetes API.
Server Kubernetes API meneruskan permintaan ke GKE Identity Service, yang memvalidasi permintaan tersebut.
GKE Identity Service menampilkan informasi pengguna dan grup pihak ketiga ke server Kubernetes API. Server Kubernetes API kemudian dapat menggunakan informasi ini untuk mengizinkan permintaan berdasarkan kebijakan RBAC yang dikonfigurasi di cluster.

Sebelum memulai

Pastikan Anda telah menginstal alat command line berikut:
- Versi terbaru Google Cloud CLI, alat command line untuk berinteraksi dengan Google Cloud.
- Alat command line Kubernetes, kubectl, untuk berinteraksi dengan cluster Anda.
Jika Anda menggunakan Cloud Shell sebagai lingkungan shell untuk berinteraksi dengan Google Cloud, alat ini diinstal untuk Anda.
Pastikan Anda telah melakukan inisialisasi gcloud CLI untuk digunakan dengan project.
Panduan ini mengasumsikan bahwa Anda memiliki roles/owner dalam project. Jika bukan pemilik project, Anda mungkin memerlukan izin tambahan untuk melakukan beberapa langkah penyiapan.
Untuk cluster di luar Google Cloud, GKE Identity Service perlu memanggil Google API dari cluster Anda untuk menyelesaikan autentikasi. Periksa apakah kebijakan jaringan Anda mewajibkan traffic keluar untuk melewati proxy.

Menyiapkan pemetaan atribut identitas pihak ketiga menggunakan Workforce Identity

Pastikan ada kumpulan Tenaga Kerja dan penyedia identitas yang disiapkan untuk organisasi Google Cloud Anda dengan mengikuti petunjuk yang sesuai dengan penyedia identitas Anda:

Mengaktifkan API

Untuk menambahkan gateway ke project Anda, aktifkan Connect gateway API dan API dependensi yang diperlukan. Jika pengguna hanya ingin melakukan autentikasi ke cluster menggunakan Konsol Google Cloud, Anda tidak perlu mengaktifkan connectgateway.googleapis.com, tetapi perlu mengaktifkan API yang tersisa.

gcloud services enable --project=PROJECT_ID  \
connectgateway.googleapis.com \
anthos.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
cloudresourcemanager.googleapis.com

Menyiapkan GKE Identity Service

Fitur dukungan identitas pihak ketiga gateway menggunakan GKE Identity Service untuk mendapatkan informasi keanggotaan grup pihak ketiga dari Google. Anda dapat mengetahui informasi selengkapnya tentang GKE Identity Service dalam Memperkenalkan GKE Identity Service.

Pastikan GKE Identity Service terinstal

GKE Identity Service diinstal secara default di cluster GKE mulai versi 1.7 dan seterusnya (meskipun dukungan identitas pihak ketiga memerlukan versi 1.13 atau yang lebih tinggi). Anda dapat memastikan bahwa cluster telah diinstal dengan benar pada cluster dengan menjalankan perintah berikut:

kubectl --kubeconfig CLUSTER_KUBECONFIG get all -n anthos-identity-service

Ganti CLUSTER_KUBECONFIG dengan jalur ke kubeconfig cluster.

Mengonfigurasi dukungan identitas pihak ketiga untuk grup

Jika cluster atau fleet Anda sudah dikonfigurasi untuk dukungan Google Grup, tidak ada langkah tambahan dan Anda dapat langsung membuka bagian Memberikan peran IAM kepada pengguna dan grup pihak ketiga.

Jika Anda menggunakan Google Distributed Cloud di VMware atau bare metal, cara Anda menyiapkan GKE Identity Service akan menentukan cara Anda mengonfigurasi fitur grup pihak ketiga.

Jika menggunakan GKE Identity Service untuk pertama kalinya, Anda dapat memilih antara mengonfigurasi dukungan grup pihak ketiga menggunakan Fleet API (direkomendasikan) atau menggunakan kubectl.

Jika Anda bukan pengguna pertama kali GKE Identity Service, ingatlah salah satu hal berikut:

Jika Anda telah menyiapkan GKE Identity Service untuk penyedia identitas lain di level fleet, fitur grup pihak ketiga akan diaktifkan untuk Anda secara default. Lihat bagian Armada di bawah untuk detail selengkapnya dan penyiapan tambahan yang mungkin Anda perlukan.
Jika Anda telah menyiapkan GKE Identity Service untuk penyedia identitas lainnya per cluster, lihat bagian Kubectl di bawah guna mengetahui petunjuk cara memperbarui konfigurasi Anda untuk fitur grup pihak ketiga.

Fleet

Anda dapat menggunakan konsol Google Cloud atau command line untuk mengonfigurasi akses ke grup pihak ketiga menggunakan Fleet Feature API.

Konsol

Jika sebelumnya Anda belum menyiapkan GKE Identity Service untuk fleet, ikuti petunjuk dalam Mengonfigurasi cluster untuk GKE Identity Service.

Memilih cluster dan memperbarui konfigurasi

Di Konsol Google Cloud, buka halaman Features GKE Enterprise.

Buka GKE Enterprise Features
Di tabel Features, klik Details di baris Identity Service. Detail cluster project Anda akan ditampilkan.
Klik Update identity service untuk membuka panel penyiapan.
Pilih cluster yang ingin Anda konfigurasi. Anda dapat memilih cluster individual, atau menentukan bahwa Anda ingin semua cluster dikonfigurasi dengan konfigurasi identitas yang sama.
Di bagian Mengonfigurasi Penyedia Identitas, Anda dapat memilih untuk mempertahankan, menambahkan, memperbarui, atau menghapus penyedia identitas.
Klik Continue untuk melanjutkan ke langkah konfigurasi berikutnya. Jika Anda telah memilih minimal satu cluster yang memenuhi syarat untuk penyiapan ini, bagian Autentikasi Google akan ditampilkan.
Pilih Enable guna mengaktifkan autentikasi Google untuk cluster yang dipilih. Jika Anda perlu mengakses Penyedia Identitas Google melalui proxy, masukkan detail Proxy.
Klik Update Configuration. Ini akan menerapkan konfigurasi identitas pada cluster yang Anda pilih.

gcloud

Jika Anda belum pernah menyiapkan GKE Identity Service untuk fleet, ikuti petunjuk dalam Mengonfigurasi cluster untuk GKE Identity Service. Hanya tentukan konfigurasi berikut di file auth-config.yaml Anda:

spec:
  authentication:
  - name: google-authentication-method
    google:
      disable: false

Mengonfigurasi akses grup pihak ketiga menggunakan proxy

Jika Anda perlu mengakses penyedia identitas melalui proxy, gunakan kolom proxy di file auth-config.yaml Anda. Anda mungkin perlu menyetelnya jika misalnya cluster berada dalam jaringan pribadi dan perlu terhubung ke penyedia identitas publik. Anda harus menambahkan konfigurasi ini meskipun telah mengonfigurasi GKE Identity Service untuk penyedia lain.

Untuk mengonfigurasi proxy, berikut cara memperbarui bagian authentication dari file konfigurasi auth-config.yaml yang ada.

  spec:
    authentication:
    - name: authentication-method
      google:
        disable: false
      proxy: PROXY_URL

dengan

disable (opsional) menunjukkan apakah Anda ingin mengaktifkan atau tidak menggunakan fitur grup pihak ketiga untuk cluster. Nilai ini ditetapkan ke false secara default. Jika memilih untuk tidak menggunakan fitur ini, Anda dapat menyetelnya ke true.
PROXY_URL (opsional) adalah alamat server proxy untuk dihubungkan ke identitas Google. Contoh: http://user:password@10.10.10.10:8888

Terapkan konfigurasi:

Untuk menerapkan konfigurasi ke cluster, jalankan perintah berikut:

gcloud container fleet identity-service apply \
--membership=CLUSTER_NAME \
--config=/path/to/auth-config.yaml

dengan

CLUSTER_NAME adalah nama keanggotaan unik cluster Anda dalam fleet.

Setelah diterapkan, konfigurasi ini akan dikelola oleh pengontrol GKE Identity Service. Setiap perubahan lokal yang dibuat pada konfigurasi klien GKE Identity Service akan direkonsiliasi kembali oleh pengontrol ke konfigurasi yang ditentukan dalam penyiapan ini.

Kubectl

Untuk mengonfigurasi cluster agar menggunakan GKE Identity Service dengan fitur grup pihak ketiga, Anda perlu mengupdate ClientConfig Layanan Identitas GKE cluster. Ini adalah jenis resource kustom (CRD) Kubernetes yang digunakan untuk konfigurasi cluster. Setiap cluster GKE Enterprise memiliki resource ClientConfig bernama default di namespace kube-public yang Anda perbarui dengan detail konfigurasi Anda.

Untuk mengedit konfigurasi, gunakan perintah berikut.

kubectl --kubeconfig CLUSTER_KUBECONFIG -n kube-public edit clientconfig default

Jika ada beberapa konteks dalam kubeconfig, konteks saat ini akan digunakan. Anda mungkin perlu mereset konteks saat ini ke cluster yang benar sebelum menjalankan perintah.

Berikut adalah contoh cara mengupdate ClientConfig dengan metode autentikasi baru yang memiliki konfigurasi jenis google untuk mengaktifkan fitur grup pihak ketiga. Jika kolom internalServer kosong, pastikan kolom tersebut ditetapkan ke https://kubernetes.default.svc, seperti yang ditunjukkan di bawah.

spec:
  authentication:
  - google:
      audiences:
      - "CLUSTER_IDENTIFIER"
    name: google-authentication-method
    proxy: PROXY_URL
  internalServer: https://kubernetes.default.svc

dengan

CLUSTER_IDENTIFIER (wajib) menunjukkan detail keanggotaan cluster Anda. Anda dapat mengambil detail keanggotaan cluster menggunakan perintah:

kubectl --kubeconfig CLUSTER_KUBECONFIG get memberships membership -o yaml

dengan

CLUSTER_KUBECONFIG adalah jalur ke file kubeconfig untuk cluster. Sebagai respons, lihat kolom spec.owner.id untuk mendapatkan detail keanggotaan cluster.

Berikut adalah contoh respons yang menunjukkan detail keanggotaan cluster:

id: //gkehub.googleapis.com/projects/123456789/locations/global/memberships/xy-ab12cd34ef

yang sesuai dengan format berikut: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/MEMBERSHIP

Memberikan peran IAM kepada pengguna dan grup pihak ketiga

Identitas pihak ketiga memerlukan peran tambahan Google Cloud berikut untuk berinteraksi dengan cluster yang terhubung melalui gateway:

roles/gkehub.gatewayAdmin. Peran ini memungkinkan pengguna mengakses Connect gateway API.
- Jika pengguna hanya memerlukan akses hanya baca ke cluster yang terhubung, roles/gkehub.gatewayReader dapat digunakan.
- Jika pengguna memerlukan akses baca/tulis ke cluster yang terhubung, roles/gkehub.gatewayEditor dapat digunakan.
roles/gkehub.viewer. Peran ini mengizinkan pengguna melihat keanggotaan cluster yang terdaftar.

Berikut ini cara menambahkan peran yang diperlukan ke identitas individual dan grup yang dipetakan:

Identitas tunggal

Untuk memberikan peran yang diperlukan ke satu identitas untuk project PROJECT_ID, jalankan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=GATEWAY_ROLE \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/gkehub.viewer \
    --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"

dengan

PROJECT_ID: adalah ID project.
GATEWAY_ROLE adalah salah satu dari roles/gkehub.gatewayAdmin, roles/gkehub.gatewayReader, atau gkehub.gatewayEditor.
WORKFORCE_POOL_ID: adalah ID kumpulan identitas tenaga kerja.
SUBJECT_VALUE: adalah identitas pengguna.

Grup

Untuk memberikan peran yang diperlukan ke semua identitas dalam grup tertentu untuk project PROJECT_ID, jalankan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=GATEWAY_ROLE \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/gkehub.viewer \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

dengan

PROJECT_ID: adalah ID project.
GATEWAY_ROLE adalah salah satu dari roles/gkehub.gatewayAdmin, roles/gkehub.gatewayReader, atau gkehub.gatewayEditor.
WORKFORCE_POOL_ID: adalah ID kumpulan tenaga kerja.
GROUP_ID: adalah grup dalam klaim google.groups yang dipetakan.

Lihat penyiapan untuk Penyedia Identitas Anda yang tercantum di Menyiapkan pemetaan pihak ketiga menggunakan Workforce Identity untuk mengetahui penyesuaian lainnya, seperti menentukan atribut departemen, saat menerapkan kebijakan RBAC.

Anda dapat mengetahui lebih lanjut cara memberikan izin dan peran IAM di artikel Memberikan, mengubah, dan mencabut akses ke resource.

Mengonfigurasi kebijakan kontrol akses berbasis peran (RBAC)

Terakhir, setiap server Kubernetes API cluster harus dapat mengizinkan perintah kubectl yang masuk melalui gateway dari pengguna dan grup pihak ketiga yang Anda tentukan. Untuk setiap cluster, Anda perlu menambahkan kebijakan izin RBAC yang menentukan izin yang dimiliki subjek pada cluster.

Subjek dalam kebijakan RBAC harus menggunakan format yang sama dengan binding IAM, dengan pengguna pihak ketiga yang diawali dengan principal://iam.googleapis.com/ dan grup pihak ketiga yang diawali dengan principalSet://iam.googleapis.com/. Jika GKE Identity Service tidak dikonfigurasi untuk cluster tersebut, Anda memerlukan kebijakan peniruan identitas selain peran/clusterrole untuk pengguna pihak ketiga. Dalam hal ini, ikuti langkah-langkah penyiapan RBAC ini, dengan menambahkan akun utama pihak ketiga yang dimulai dengan principal://iam.googleapis.com/ sebagai pengguna.

Contoh berikut menunjukkan cara memberikan izin cluster-admin kepada anggota grup pihak ketiga di cluster tempat GKE Identity Service dikonfigurasi. Selanjutnya, Anda dapat menyimpan file kebijakan sebagai /tmp/admin-permission.yaml dan menerapkannya ke cluster yang terkait dengan konteks saat ini.

cat <<EOF > /tmp/admin-permission.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin-group
subjects:
- kind: Group
  name: "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP"
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
EOF
# Apply permission policy to the cluster.
kubectl apply --kubeconfig=KUBECONFIG_PATH -f /tmp/admin-permission.yaml

Anda dapat mengetahui lebih lanjut cara menentukan izin RBAC dalam artikel Menggunakan otorisasi RBAC.

Apa langkah selanjutnya?

Pelajari cara menggunakan gateway Connect untuk terhubung ke cluster dari command line.
Lihat contoh cara menggunakan gateway Connect sebagai bagian dari otomatisasi DevOps dalam tutorial Mengintegrasikan dengan Cloud Build.