La federazione delle identità per la forza lavoro concede alle identità non Google l'accesso ai servizi Google Cloud. Nel contesto di GKE su AWS, puoi utilizzare identità esterne preesistenti per creare o accedere a un cluster GKE senza affidarti alle credenziali Google.
I vantaggi dell'utilizzo della federazione delle identità per la forza lavoro sono i seguenti:
- Elimina la necessità di account duplicati tra piattaforme o provider diversi.
- Puoi impostare le autorizzazioni una sola volta, ignorando la necessità di configurazioni su più piattaforme.
- Semplifica l'accesso degli utenti perché sono necessari meno login e password.
Prima di iniziare
Prima di poter consentire a utenti o gruppi esterni di accedere ai cluster GKE, devi eseguire questi passaggi:
Per fare in modo che utenti o gruppi esterni possano utilizzare l'API GKE su AWS, configura la federazione delle identità per la forza lavoro.
- Per gli utenti Azure, consulta Configurare la federazione delle identità della forza lavoro con Azure AD.
- Per gli utenti Okta, vedi Configurare la federazione delle identità per la forza lavoro con Okta.
- Per gli utenti di altre piattaforme, consulta Configurare la federazione delle identità per la forza lavoro.
Assegna il ruolo
gkemulticloud.viewer
ai tuoi utenti o gruppi esterni in modo che possano accedere ai cluster. Assegna il ruolocontainer.clusterViewer
per visualizzare i cluster nella console Google Cloud.Tieni presente che i ruoli sono raccolte di autorizzazioni. Quando assegni un ruolo a un'entità (utente, gruppo o account di servizio), concedi all'entità tutte le autorizzazioni incluse nel ruolo.
Utenti
Per i singoli utenti, devi assegnare il ruolo
gkemulticloud.viewer
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.viewer" \ --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"
Sostituisci quanto segue:
PROJECT_ID
: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID
: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE
: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com
.
Gruppi
Per i gruppi, devi assegnare il ruolo
gkemulticloud.viewer
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.viewer" \ --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Sostituisci quanto segue:
PROJECT_ID
: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID
: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.GROUP_ID
: un ID che identifica in modo univoco un gruppo esterno.
(Facoltativo) Assegna ai gruppi o utenti esterni i ruoli IAM (Identity and Access Management) appropriati. Questo passaggio è necessario solo se vuoi concedere a utenti o gruppi la possibilità di creare o aggiornare i cluster; non è necessario per accedere semplicemente a un cluster.
Utenti
Per i singoli utenti, devi assegnare il ruolo
gkemulticloud.admin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.admin" \ --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"
Sostituisci quanto segue:
PROJECT_ID
: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID
: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE
: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com
.
Gruppi
Per i gruppi, devi assegnare il ruolo
gkemulticloud.admin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.admin" \ --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Sostituisci quanto segue:
PROJECT_ID
: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID
: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.GROUP_ID
: un ID che identifica in modo univoco un gruppo esterno.
Per ulteriori informazioni su quali autorizzazioni e ruoli API sono richiesti per GKE su AWS, consulta Autorizzazioni e ruoli API.
Concedere l'accesso esterno ai cluster GKE
Esistono due metodi per configurare la federazione delle identità per la forza lavoro in modo che utenti o gruppi esterni possano accedere ai cluster GKE.
Il metodo n. 1 richiede la definizione di un file RBAC e la sua applicazione al cluster. Questo metodo offre un controllo granulare sulle autorizzazioni, ad esempio consentendo agli utenti l'accesso di sola lettura alle risorse senza concedere loro un accesso più ampio.
Il metodo 2 richiede di specificare l'accesso per le identità esterne durante la creazione o l'aggiornamento di un cluster. Questo metodo concede privilegi amministrativi completi agli utenti o ai gruppi specificati.
Scegli il metodo più in linea con il livello di controllo dell'accesso dell'accesso desiderato: metodo 1 per autorizzazioni più granulari o metodo 2 per concedere diritti di amministrazione completi del cluster.
Metodo 1: usa un file RBAC
Il primo metodo per concedere l'accesso esterno ai cluster GKE prevede l'utilizzo di un file RBAC. Segui questi passaggi:
Definisci un file YAML RBAC che include i soggetti (utenti o gruppi) e le autorizzazioni che vuoi concedere all'interno del cluster GKE. Ecco alcuni esempi di configurazioni YAML RBAC per singoli utenti e gruppi:
Utenti
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-user subjects: - kind: User name: principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE
: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com
.
Gruppi
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-group subjects: - kind: Group name: principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
WORKFORCE_POOL_ID
: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.GROUP_ID
: un ID che identifica in modo univoco un gruppo esterno.
Identifica il cluster GKE che vuoi configurare e impostalo come contesto attivo utilizzando questo comando:
kubectl config use-context CLUSTER_CONTEXT
Sostituisci
CLUSTER_CONTEXT
con il nome del contesto appropriato per il cluster.Con il cluster GKE desiderato impostato come contesto attivo, applica la configurazione RBAC al cluster utilizzando questo comando:
kubectl apply -f RBAC_PATH
Sostituisci
RBAC_PATH
con il percorso del file RBAC che hai creato o modificato.Quando esegui questo comando, gli utenti o i gruppi specificati nella configurazione RBAC ora dispongono delle autorizzazioni per accedere e gestire il cluster GKE di destinazione, come definito nelle regole RBAC.
Se devi apportare modifiche successive alle autorizzazioni, modifica il file RBAC e applicalo di nuovo al cluster ripetendo i passaggi precedenti.
Metodo 2: concedi l'accesso alle identità esterne durante la creazione o l'aggiornamento del cluster
Il metodo 2 concede l'accesso a identità esterne durante il processo di creazione o aggiornamento del cluster.
Per creare un cluster, segui i passaggi descritti in Creare un cluster. Per aggiornare un cluster, segui i passaggi descritti in Aggiornare un cluster.
Quando esegui il comando gcloud
per creare o aggiornare un cluster, specifica i parametri admin-users
e/o admin-groups
come segue:
gcloud container aws clusters [create|update] CLUSTER_NAME \
--location=LOCATION
--admin-users=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject SUBJECT_VALUE \
--admin-groups=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.LOCATION
: la regione Google Cloud in cui è gestito il cluster.WORKFORCE_POOL_ID
: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE
: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com
.GROUP_ID
: un ID che identifica in modo univoco un gruppo esterno.
Riepilogo della concessione dell'accesso agli ID esterni ai cluster GKE
Dopo aver eseguito il metodo 1 o 2, gli utenti o i gruppi esterni specificati possono utilizzare la console Google Cloud per connettersi e visualizzare i dettagli del cluster. In alternativa, possono utilizzare kubectl
con identità da gcloud CLI per gestire, manipolare e comunicare con il cluster.
Per eseguire i comandi kubectl
sui cluster GKE, scopri
come generare una voce kubeconfig
.