GKE su AWS supporta OpenID Connect (OIDC) e AWS IAM come meccanismo di autenticazione per l'interazione con il server API Kubernetes di un cluster mediante GKE Identity Service. GKE Identity Service è un servizio di autenticazione che consente di utilizzare le soluzioni di identità esistenti per l'autenticazione in più ambienti. Gli utenti possono accedere ai tuoi cluster GKE e utilizzarli dalla riga di comando o dalla console Google Cloud, il tutto utilizzando il tuo provider di identità esistente.
Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.
Se già utilizzi o vuoi utilizzare le identità Google per accedere ai cluster GKE, ti consigliamo di utilizzare il comando gcloud containers aws clusters get-credentials
per l'autenticazione. Per saperne di più, consulta Connettersi e autenticarsi nel cluster.
Autenticazione OpenID Connect
Prima di iniziare
Per utilizzare l'autenticazione OIDC, gli utenti devono essere in grado di connettersi al piano di controllo del cluster. Consulta Connettersi al piano di controllo del cluster.
Per l'autenticazione tramite la console Google Cloud, devi registrare ogni cluster che vuoi configurare con il tuo parco progetti. Per GKE su AWS, l'operazione è automatica dopo la creazione di un pool di nodi.
Per consentire agli utenti di eseguire l'autenticazione tramite la console Google Cloud, assicurati che tutti i cluster che vuoi configurare siano registrati nel parco risorse di progetti. Per GKE su AWS, l'operazione è automatica una volta creato un pool di nodi.
Procedura di configurazione e opzioni
Registra il servizio di identità GKE come client con il tuo provider OIDC seguendo le istruzioni in Configurare i provider per il servizio di identità GKE.
Scegli tra le seguenti opzioni di configurazione del cluster:
Configura i cluster a livello di parco risorse seguendo le istruzioni in Configurazione dei cluster per il servizio di identità GKE a livello di parco risorse. Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.
Configura i cluster singolarmente seguendo le istruzioni in Configurazione dei cluster per GKE Identity Service con OIDC.
Configura l'accesso degli utenti ai cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso degli utenti per GKE Identity Service.
Accesso ai cluster
Dopo che GKE Identity Service è stato configurato su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la console Google Cloud.
- Scopri come accedere ai cluster registrati con il tuo ID OIDC in Accesso ai cluster utilizzando GKE Identity Service.
- Scopri come accedere ai cluster dalla console Google Cloud in Accedere a un cluster dalla console Google Cloud.
Autenticazione AWS IAM
Il supporto AWS IAM su GKE su AWS utilizza GKE Identity Service.
Prima di iniziare
Per utilizzare l'autenticazione AWS IAM, gli utenti devono essere in grado di connettersi al piano di controllo del cluster. Consulta Connettersi al piano di controllo del cluster.
Procedura di configurazione e opzioni
Per configurare il cluster in modo da consentire l'autenticazione AWS IAM per una determinata regione AWS:
Modifica la risorsa
ClientConfig
sul tuo cluster:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public
Sostituisci
KUBECONFIG_PATH
con il percorso del file kubeconfig del tuo cluster, ad esempio$HOME/.kube/config
.L'editor di testo carica la risorsa ClientConfig del cluster. Aggiungi l'oggetto
spec.authentication.aws
come mostrato di seguito. Non modificare i dati predefiniti già scritti.apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGION
Sostituisci quanto segue:
NAME
: un nome arbitrario di questo metodo di autenticazione, ad esempio "aws-iam".AWS_REGION
: la regione AWS in cui vengono recuperate le informazioni utente. Deve corrispondere alla regione configurata nell'interfaccia a riga di comando AWS degli utenti.
Per abilitare gli utenti del cluster all'utilizzo di AWS IAM, consulta Configurazione dell'accesso utente per GKE Identity Service.
Accesso ai cluster
Dopo che GKE Identity Service è stato configurato su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la console Google Cloud.
Per scoprire come accedere ai cluster registrati con la tua identità AWS IAM, consulta Accesso ai cluster utilizzando GKE Identity Service.