GKE en AWS admite OpenID Connect (OIDC) y AWS IAM como mecanismo de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster mediante el servicio de identidad de GKE. GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad para autenticarte en varios entornos. Los usuarios pueden iniciar sesión en tus clústeres de GKE y usarlos desde la línea de comandos o desde la consolaGoogle Cloud , todo ello con tu proveedor de identidades.
Para obtener una descripción general de cómo funciona el servicio de identidad de GKE, consulta el artículo Presentamos el servicio de identidad de GKE.
Si ya usas o quieres usar identidades de Google para iniciar sesión en tus clústeres de GKE, te recomendamos que uses el comando gcloud containers aws clusters get-credentials para la autenticación. Consulta más información en Conectarse y autenticarse en tu clúster.
Autenticación de OpenID Connect
Antes de empezar
Para usar la autenticación OIDC, los usuarios deben poder conectarse al plano de control del clúster. Consulta Conectarse al plano de control de un clúster.
Para autenticarte a través de la consola, debes registrar cada clúster que quieras configurar con tu flota de proyectos. Google Cloud En GKE en AWS, esto se hace automáticamente una vez que has creado un grupo de nodos.
Para permitir que los usuarios se autentiquen a través de la consola Google Cloud , asegúrate de que todos los clústeres que quieras configurar estén registrados en tu flota de proyectos. En GKE en AWS, esto se hace automáticamente una vez que has creado un grupo de nodos.
Proceso y opciones de configuración
Registra GKE Identity Service como cliente con tu proveedor de OIDC siguiendo las instrucciones de Configurar proveedores para GKE Identity Service.
Elige una de las siguientes opciones de configuración de clúster:
Configura tus clústeres a nivel de flota siguiendo las instrucciones de Configurar clústeres en el servicio de identidad de GKE a nivel de flota. Con esta opción,Google Cloudgestiona de forma centralizada tu configuración de autenticación.
Configura tus clústeres individualmente siguiendo las instrucciones de Configurar clústeres en el servicio de identidad de GKE con OIDC.
Configura el acceso de los usuarios a tus clústeres, incluido el control de acceso basado en roles (RBAC), siguiendo las instrucciones de Configurar el acceso de los usuarios a GKE Identity Service.
Acceder a clústeres
Una vez que se haya configurado el servicio de gestión de identidades de GKE en un clúster, los usuarios podrán iniciar sesión en los clústeres mediante la línea de comandos o la consola Google Cloud .
- Consulta cómo iniciar sesión en clústeres registrados con tu ID de OIDC en Acceder a clústeres con GKE Identity Service.
- Consulta cómo iniciar sesión en clústeres desde la Google Cloud consola en Iniciar sesión en un clúster desde la Google Cloud consola.
Autenticación de AWS IAM
La compatibilidad con AWS IAM en GKE on AWS usa Identity Service para GKE.
Antes de empezar
Para usar la autenticación de AWS IAM, los usuarios deben poder conectarse al plano de control del clúster. Consulta Conectarse al plano de control de un clúster.
Proceso y opciones de configuración
Para configurar el clúster de forma que permita la autenticación de gestión de identidades y accesos de AWS en una región de AWS concreta, haz lo siguiente:
Edita el recurso
ClientConfigde tu clúster:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-publicSustituye
KUBECONFIG_PATHpor la ruta al archivo kubeconfig de tu clúster (por ejemplo,$HOME/.kube/config).El editor de texto carga el recurso ClientConfig de tu clúster. Añade el objeto
spec.authentication.awscomo se muestra a continuación. No modifiques ningún dato predeterminado que ya se haya escrito.apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGIONHaz los cambios siguientes:
NAME: nombre arbitrario de este método de autenticación. Por ejemplo, "aws-iam".AWS_REGION: región de AWS en la que se obtiene la información del usuario. Debe coincidir con la región configurada en la CLI de AWS de tus usuarios.
Para permitir que los usuarios de tu clúster usen AWS IAM, sigue los pasos que se indican en el artículo Configurar el acceso de los usuarios a GKE Identity Service.
Acceder a clústeres
Una vez que se haya configurado el servicio de gestión de identidades de GKE en un clúster, los usuarios podrán iniciar sesión en los clústeres mediante la línea de comandos o la consola Google Cloud .
Para saber cómo iniciar sesión en clústeres registrados con tu identidad de AWS IAM, consulta el artículo Acceder a clústeres con GKE Identity Service.