Esta documentação é referente à versão mais recente do GKE no Azure, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Gerenciar identidade com o serviço de identidade do GKE

O GKE no Azure dá suporte ao OpenID Connect (OIDC) como um mecanismo de autenticação para interagir com o servidor da API do Kubernetes de um cluster, usando o serviço de identidade do GKE. O serviço de identidade do GKE é um serviço de autenticação que permite trazer as soluções de identidade existentes para autenticação em vários ambientes. Os usuários podem fazer login e usar os clusters do GKE na linha de comando ou no console do Google Cloud. Tudo isso usando o provedor de identidade atual.

Para uma visão geral de como o serviço de identidade do GKE funciona, consulte Introdução ao serviço de identidade do GKE.

Se você já usa ou quer usar as identidades do Google para fazer login nos clusters do GKE, recomendamos usar o comando gcloud containers azure clusters get-credentials para autenticação. Saiba mais em Conectar e autenticar seu cluster.

Autenticação do OpenID Connect

Antes de começar

Para usar a autenticação OIDC, os usuários precisam ser capazes de se conectar ao plano de controle do cluster. Consulte Conectar-se ao plano de controle do cluster.
Para autenticar pelo Console do Google Cloud, você precisa registrar cada cluster que quer configurar com sua frota de projeto. Para o GKE no Azure, isso será automático depois que você criar um pool de nós.
Para permitir que os usuários se autentiquem pelo Console do Google Cloud, verifique se todos os clusters que você quer configurar estão registrados com a frota do projeto. Para o GKE no Azure, isso será automático depois que você criar um pool de nós.

Processo de configuração e opções

Registre o GKE Identity Service como um cliente com o provedor OIDC seguindo as instruções em Como configurar provedores para o GKE Identity Service.
Escolha uma destas opções de configuração de cluster:
- Configure os clusters no nível da frota seguindo as instruções em Como configurar clusters para o GKE Identity Service no nível da frota. Com essa opção, a configuração de autenticação é gerenciada centralmente pelo Google Cloud.
- Configure os clusters individualmente seguindo as instruções em Como configurar clusters para o GKE Identity Service com o OIDC.
Para configurar o acesso do usuário aos clusters, incluindo o controle de acesso baseado em papéis (RBAC, na sigla em inglês), siga as instruções em Como configurar o acesso do usuário para o GKE Identity Service.

Acessar clusters

Depois de configurar o GKE Identity Service em um cluster, os usuários podem fazer login em clusters usando a linha de comando ou o console do Google Cloud.

Saiba como fazer login em clusters registrados com o ID do OIDC em Como acessar clusters usando o GKE Identity Service.
Saiba como fazer login em clusters no Console do Cloud em Como fazer login em um cluster no Console do Cloud.