Gestisci l'identità con il servizio di identità GKE

GKE su AWS supporta OpenID Connect (OIDC) e AWS IAM come meccanismo di autenticazione per l'interazione con il server API Kubernetes di un cluster mediante GKE Identity Service. GKE Identity Service è un servizio di autenticazione che consente di utilizzare le soluzioni di identità esistenti per l'autenticazione in più ambienti. Gli utenti possono accedere ai tuoi cluster GKE e utilizzarli dalla riga di comando o dalla console Google Cloud, il tutto utilizzando il tuo provider di identità esistente.

Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.

Se già utilizzi o vuoi utilizzare le identità Google per accedere ai cluster GKE, ti consigliamo di utilizzare il comando gcloud containers aws clusters get-credentials per l'autenticazione. Per saperne di più, consulta Connettersi e autenticarsi nel cluster.

Autenticazione OpenID Connect

Prima di iniziare

  1. Per utilizzare l'autenticazione OIDC, gli utenti devono essere in grado di connettersi al piano di controllo del cluster. Consulta Connettersi al piano di controllo del cluster.

  2. Per l'autenticazione tramite la console Google Cloud, devi registrare ogni cluster che vuoi configurare con il tuo parco progetti. Per GKE su AWS, l'operazione è automatica dopo la creazione di un pool di nodi.

  3. Per consentire agli utenti di eseguire l'autenticazione tramite la console Google Cloud, assicurati che tutti i cluster che vuoi configurare siano registrati nel parco risorse di progetti. Per GKE su AWS, l'operazione è automatica una volta creato un pool di nodi.

Procedura di configurazione e opzioni

  1. Registra il servizio di identità GKE come client con il tuo provider OIDC seguendo le istruzioni in Configurare i provider per il servizio di identità GKE.

  2. Scegli tra le seguenti opzioni di configurazione del cluster:

  3. Configura l'accesso degli utenti ai cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso degli utenti per GKE Identity Service.

Accesso ai cluster

Dopo che GKE Identity Service è stato configurato su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la console Google Cloud.

Autenticazione AWS IAM

Il supporto AWS IAM su GKE su AWS utilizza GKE Identity Service.

Prima di iniziare

Per utilizzare l'autenticazione AWS IAM, gli utenti devono essere in grado di connettersi al piano di controllo del cluster. Consulta Connettersi al piano di controllo del cluster.

Procedura di configurazione e opzioni

Per configurare il cluster in modo da consentire l'autenticazione AWS IAM per una determinata regione AWS:

  1. Modifica la risorsa ClientConfig sul tuo cluster:

    kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public
    

    Sostituisci KUBECONFIG_PATH con il percorso del file kubeconfig del tuo cluster, ad esempio $HOME/.kube/config.

    L'editor di testo carica la risorsa ClientConfig del cluster. Aggiungi l'oggetto spec.authentication.aws come mostrato di seguito. Non modificare i dati predefiniti già scritti.

    apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
    metadata:
      name: default
      namespace: kube-public
    spec:
      authentication:
      - name: NAME
        aws:
          region: AWS_REGION
    

    Sostituisci quanto segue:

    • NAME: un nome arbitrario di questo metodo di autenticazione, ad esempio "aws-iam".
    • AWS_REGION: la regione AWS in cui vengono recuperate le informazioni utente. Deve corrispondere alla regione configurata nell'interfaccia a riga di comando AWS degli utenti.
  2. Per abilitare gli utenti del cluster all'utilizzo di AWS IAM, consulta Configurazione dell'accesso utente per GKE Identity Service.

Accesso ai cluster

Dopo che GKE Identity Service è stato configurato su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la console Google Cloud.

Per scoprire come accedere ai cluster registrati con la tua identità AWS IAM, consulta Accesso ai cluster utilizzando GKE Identity Service.