Autenticazione in GKE su Azure con identità esterne
La federazione delle identità per la forza lavoro concede alle identità non Google l'accesso ai servizi Google Cloud. Nel contesto di GKE su Azure, questo significa che puoi utilizzare identità esterne preesistenti per creare o accedere a un cluster GKE senza fare affidamento sulle credenziali Google.
I vantaggi dell'utilizzo della federazione delle identità per la forza lavoro sono i seguenti:
- Elimina la necessità di account duplicati tra piattaforme o provider diversi.
- Puoi impostare le autorizzazioni una sola volta, ignorando la necessità di configurazioni su più piattaforme.
- Semplifica l'accesso degli utenti perché sono necessari meno login e password.
Prima di iniziare
Prima di poter consentire a utenti o gruppi esterni di accedere ai cluster GKE, devi eseguire questi passaggi:
Per consentire a utenti o gruppi esterni di utilizzare l'API GKE sull'API Azure, configura la federazione delle identità per la forza lavoro.
- Per gli utenti Azure, consulta Configurare la federazione delle identità della forza lavoro con Azure AD.
- Per gli utenti Okta, vedi Configurare la federazione delle identità per la forza lavoro con Okta.
- Per gli utenti di altre piattaforme, consulta Configurare la federazione delle identità per la forza lavoro.
Assegna il ruolo
gkemulticloud.viewerai tuoi utenti o gruppi esterni in modo che possano accedere ai cluster. Assegna il ruolocontainer.clusterViewerper visualizzare i cluster nella console Google Cloud.Tieni presente che i ruoli sono raccolte di autorizzazioni. Quando assegni un ruolo a un'entità (utente, gruppo o account di servizio), concedi all'entità tutte le autorizzazioni incluse nel ruolo.
Utenti
Per i singoli utenti, devi assegnare il ruolo
gkemulticloud.viewer:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.viewer" \ --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com.
Gruppi
Per i gruppi, devi assegnare il ruolo
gkemulticloud.viewer:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.viewer" \ --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.GROUP_ID: un ID che identifica in modo univoco un gruppo esterno.
(Facoltativo) Assegna ai gruppi o utenti esterni i ruoli IAM (Identity and Access Management) appropriati. Questo passaggio è necessario solo se vuoi concedere a utenti o gruppi la possibilità di creare o aggiornare i cluster; non è necessario per accedere semplicemente a un cluster.
Utenti
Per i singoli utenti, devi assegnare il ruolo
gkemulticloud.admin:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.admin" \ --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com.
Gruppi
Per i gruppi, devi assegnare il ruolo
gkemulticloud.admin:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.admin" \ --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo progetto Google Cloud.WORKFORCE_POOL_ID: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.GROUP_ID: un ID che identifica in modo univoco un gruppo esterno.
Per ulteriori informazioni su quali autorizzazioni e ruoli API sono richiesti per GKE su Azure, consulta Ruoli e autorizzazioni delle API.
Concedere l'accesso esterno ai cluster GKE
Esistono due metodi per configurare la federazione delle identità per la forza lavoro in modo che utenti o gruppi esterni possano accedere ai cluster GKE.
Il metodo n. 1 richiede la definizione di un file RBAC e la sua applicazione al cluster. Questo metodo offre un controllo granulare sulle autorizzazioni, ad esempio consentendo agli utenti l'accesso di sola lettura alle risorse senza concedere loro un accesso più ampio.
Il metodo 2 richiede di specificare l'accesso per le identità esterne durante la creazione o l'aggiornamento di un cluster. Questo metodo concede privilegi amministrativi completi agli utenti o ai gruppi specificati.
Scegli il metodo più in linea con il livello di controllo dell'accesso dell'accesso desiderato: metodo 1 per autorizzazioni più granulari o metodo 2 per concedere diritti di amministrazione completi del cluster.
Metodo 1: usa un file RBAC
Il primo metodo per concedere l'accesso esterno ai cluster GKE prevede l'utilizzo di un file RBAC. Segui questi passaggi:
Definisci un file YAML RBAC che include i soggetti (utenti o gruppi) e le autorizzazioni che vuoi concedere all'interno del cluster GKE. Ecco alcuni esempi di configurazioni YAML RBAC per singoli utenti e gruppi:
Utenti
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-user subjects: - kind: User name: principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.ioSostituisci quanto segue:
WORKFORCE_POOL_ID: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com.
Gruppi
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-group subjects: - kind: Group name: principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.ioSostituisci quanto segue:
WORKFORCE_POOL_ID: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.GROUP_ID: un ID che identifica in modo univoco un gruppo esterno.
Identifica il cluster GKE che vuoi configurare e impostalo come contesto attivo utilizzando questo comando:
kubectl config use-context CLUSTER_CONTEXTSostituisci
CLUSTER_CONTEXTcon il nome del contesto appropriato per il cluster.Con il cluster GKE desiderato impostato come contesto attivo, applica la configurazione RBAC al cluster utilizzando questo comando:
kubectl apply -f RBAC_PATHSostituisci
RBAC_PATHcon il percorso del file RBAC che hai creato o modificato.Quando esegui questo comando, gli utenti o i gruppi specificati nella configurazione RBAC ora dispongono delle autorizzazioni per accedere e gestire il cluster GKE di destinazione, come definito nelle regole RBAC.
Se devi apportare modifiche successive alle autorizzazioni, modifica il file RBAC e applicalo di nuovo al cluster ripetendo i passaggi precedenti.
Metodo 2: concedi l'accesso alle identità esterne durante la creazione o l'aggiornamento del cluster
Il metodo 2 concede l'accesso a identità esterne durante il processo di creazione o aggiornamento del cluster.
Per creare un cluster, segui i passaggi descritti in Creare un cluster. Per aggiornare un cluster, segui i passaggi descritti in Aggiornare un cluster.
Quando esegui il comando gcloud per creare o aggiornare un cluster, specifica i parametri admin-users e/o admin-groups come segue:
gcloud container azure clusters [create|update] CLUSTER_NAME \
--location=LOCATION
--admin-users=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject SUBJECT_VALUE \
--admin-groups=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID
Sostituisci quanto segue:
CLUSTER_NAME: il nome del tuo cluster.LOCATION: la regione Google Cloud in cui è gestito il cluster.WORKFORCE_POOL_ID: l'ID che identifica in modo univoco il tuo pool di identità della forza lavoro in Google Cloud. Quando formatti l'ID, assicurati di seguire le linee guida consigliate fornite nella documentazione IAM in Parametri di query.SUBJECT_VALUE: l'ID che identifica in modo univoco un utente esterno. Ad esempio, l'ID può essere un indirizzo email comealex@cymbalgroup.com.GROUP_ID: un ID che identifica in modo univoco un gruppo esterno.
Riepilogo della concessione dell'accesso agli ID esterni ai cluster GKE
Dopo aver eseguito il metodo 1 o 2, gli utenti o i gruppi esterni specificati possono utilizzare la console Google Cloud per connettersi e visualizzare i dettagli del cluster. In alternativa, possono utilizzare kubectl con identità da gcloud CLI per gestire, manipolare e comunicare con il cluster.
Per eseguire i comandi kubectl sui cluster GKE, scopri
come generare una voce kubeconfig.