Sie können vorhandene externe Identitätsanbieter verwenden, um sich bei Ihren Kubernetes-Clustern zu authentifizieren, die in einer Flotte registriert sind. In diesem Dokument werden die unterstützten Authentifizierungsprotokolle und die Clustertypen beschrieben, die die einzelnen Protokolle unterstützen. Nutzer können über die Befehlszeile oder die Google Cloud Console auf Ihre Cluster zugreifen und sie verwalten, ohne dass Sie Ihren Identitätsanbieter ändern müssen.
Wenn Sie sich lieber mit Google-IDs bei Ihren Clustern anmelden möchten, anstatt einen Identitätsanbieter zu verwenden, lesen Sie den Abschnitt Mit dem Connect-Gateway eine Verbindung zu registrierten Clustern herstellen.
Unterstützte Identitätsanbieter
Wenn Sie einen externen Identitätsanbieter haben, können Sie die folgenden Protokolle verwenden, um sich bei Ihren Clustern zu authentifizieren:
- OpenID Connect (OIDC): OIDC ist ein modernes, schlankes Authentifizierungsprotokoll, das auf dem OAuth 2.0-Autorisierungsframework basiert. Für einige bekannte OpenID-Anbieter, darunter Microsoft, werden spezifische Informationen zur Einrichtung bereitgestellt. Sie können aber auch einen beliebigen Anbieter verwenden, der OIDC implementiert.
- Security Assertion Markup Language (SAML): SAML ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, hauptsächlich zwischen einem Identitätsanbieter und einem Dienstanbieter.
- Lightweight Directory Access Protocol (LDAP): LDAP ist ein ausgereiftes, standardisiertes Protokoll für den Zugriff auf und die Verwaltung von Verzeichnisdiensten. Es wird häufig zum Speichern und Abrufen von Nutzerinformationen wie Nutzernamen, Passwörtern und Gruppenmitgliedschaften verwendet. Sie können sich mit LDAP bei Active Directory oder einem LDAP-Server authentifizieren.
Unterstützte Clustertypen
Dieser Authentifizierungsdienst kann nur auf Clustern installiert werden, die bei einer Flotte registriert sind. Die meisten Clustertypen sind immer in einer Flotte registriert. Für GKE-Cluster auf Google Cloudmüssen Sie die Cluster explizit für Ihre Flotte registrieren, um diesen Dienst nutzen zu können.
In der folgenden Tabelle werden die Clustertypen beschrieben, die die Drittanbieterauthentifizierung unterstützen, sowie die spezifischen Protokolle, die Sie für jeden Typ verwenden können:
| Unterstützte Clustertypen und Protokolle | |
|---|---|
| GDC (VMware) |
Unterstützt die folgenden Protokolle:
|
| GDC (Bare Metal) |
Unterstützt die folgenden Protokolle:
|
| GKE auf Google Cloud (nur Flottenmitglieder) | Unterstützt OIDC |
| GKE on AWS |
Unterstützt OIDC |
| GKE on Azure |
Unterstützt OIDC |
Die folgenden Konfigurationen werden nicht unterstützt:
- Angehängte GKE-Cluster: EKS-, AKS- oder andere Kubernetes-Installationen werden nicht unterstützt. Verwenden Sie das Connect-Gateway, um eine Verbindung zu diesen angehängten GKE-Clustern herzustellen.
- Bei VMware-Bereitstellungen von Google Distributed Cloud können Sie sich nur mit dem LDAP-Protokoll bei Nutzerclustern authentifizieren. Administratorcluster auf VMware unterstützen die Authentifizierung mit LDAP nicht.
- GKE-Cluster auf Google Cloud: Ihre GKE-Cluster müssen in Ihrer Flotte registriert sein. Wenn Sie eine Verbindung zu GKE-Clustern herstellen möchten, die sich nicht in einer Flotte befinden, verwenden Sie die Mitarbeiteridentitätsföderation.
Einrichtung
Das Einrichten der Authentifizierung über externe Identitätsanbieter umfasst die folgenden Nutzer und Schritte:
- Anbieter konfigurieren: Der Plattformadministrator registriert eine Clientanwendung bei seinem Identitätsanbieter. Diese Clientanwendung enthält die protokollspezifische Konfiguration für Kubernetes. Der Plattformadministrator erhält eine Client-ID und ein Secret vom Identitätsanbieter.
Cluster einrichten: Der Clusteradministrator richtet Cluster für Ihren Identitätsdienst ein. Clusteradministratoren können Cluster so einrichten:
- Einrichtung auf Flottenebene: Der Clusteradministrator konfiguriert alle Cluster, die in einer bestimmten Flotte registriert sind. Mit dieser Methode können Sie mehrere Cluster gleichzeitig mit einer ähnlichen Konfiguration einrichten. Weitere Informationen finden Sie unter Authentifizierung auf Flottenebene einrichten.
Einrichtung einzelner Cluster: Der Clusteradministrator konfiguriert jeden Cluster separat. Verwenden Sie diese Methode in Szenarien, in denen für verschiedene Clustertypen unterschiedliche Authentifizierungskonfigurationen erforderlich sind. Weitere Informationen finden Sie in den folgenden Dokumenten:
Nutzerzugriff einrichten: Der Clusteradministrator richtet den Nutzeranmeldezugriff ein, um sich über den FQDN-Zugriff (empfohlen) oder den dateibasierten Zugriff bei den Clustern zu authentifizieren. Optional konfiguriert er die rollenbasierte Kubernetes-Zugriffssteuerung für Nutzer in diesen Clustern.