Sie können vorhandene externe Identitätsanbieter verwenden, um sich bei Ihren Kubernetes-Clustern zu authentifizieren. In diesem Dokument werden die unterstützten Authentifizierungsprotokolle und die Clustertypen beschrieben, die die einzelnen Protokolle unterstützen. Nutzer können über die Befehlszeile oder dieGoogle Cloud -Konsole auf Ihre Cluster zugreifen und sie verwalten, ohne dass Sie Ihren Identitätsanbieter ändern müssen.
Wenn Sie sich lieber mit Google-IDs bei Ihren GKE-Clustern anmelden möchten, anstatt einen Identitätsanbieter zu verwenden, lesen Sie den Abschnitt Mit dem Connect-Gateway eine Verbindung zu registrierten Clustern herstellen.
Unterstützte Identitätsanbieter
Wenn Sie einen externen Identitätsanbieter haben, können Sie die folgenden Protokolle verwenden, um sich bei Ihren Clustern zu authentifizieren:
- OpenID Connect (OIDC): OIDC ist ein modernes, schlankes Authentifizierungsprotokoll, das auf dem OAuth 2.0-Autorisierungsframework basiert. Für einige bekannte OpenID-Anbieter, darunter Microsoft, werden spezifische Informationen zur Einrichtung bereitgestellt. Sie können aber auch einen beliebigen Anbieter verwenden, der OIDC implementiert.
- Security Assertion Markup Language (SAML): SAML ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, hauptsächlich zwischen einem Identitätsanbieter und einem Dienstanbieter.
- Lightweight Directory Access Protocol (LDAP): LDAP ist ein ausgereiftes, standardisiertes Protokoll für den Zugriff auf und die Verwaltung von Verzeichnisdiensten. Es wird häufig zum Speichern und Abrufen von Nutzerinformationen wie Nutzernamen, Passwörtern und Gruppenmitgliedschaften verwendet. Sie können sich mit LDAP bei Active Directory oder einem LDAP-Server authentifizieren.
Unterstützte Clustertypen
| Protokoll | GDC (VMware) | GDC (Bare Metal) | GKE on AWS | GKE on Azure | GKE auf Google Cloud |
|---|---|---|---|---|---|
| OIDC | |||||
| LDAP | |||||
| SAML |
Sie können sich nicht bei anderen angehängten Clustertypen von externen Identitätsanbietern authentifizieren.
Einrichtung
Das Einrichten der Authentifizierung über externe Identitätsanbieter umfasst die folgenden Nutzer und Schritte:
- Anbieter konfigurieren: Der Plattformadministrator registriert eine Clientanwendung bei seinem Identitätsanbieter. Diese Clientanwendung enthält die protokollspezifische Konfiguration für Kubernetes. Der Plattformadministrator erhält eine Client-ID und ein Secret vom Identitätsanbieter.
- Einzelne Cluster einrichten oder eine Flotte einrichten: Der Clusteradministrator richtet Cluster für Ihren Identitätsdienst ein. Clusteradministratoren können einzelne Cluster für Google Distributed Cloud (VMware und Bare Metal), GKE on AWS oder GKE on Azure konfigurieren. Alternativ können Sie eine ganze Flotte konfigurieren. Eine Flotte ist eine logische Gruppe von Clustern, mit der Sie für alle enthaltenen Cluster Funktionen aktivieren und die Konfiguration aktualisieren können.
- Nutzerzugriff einrichten: Der Clusteradministrator richtet den Nutzeranmeldezugriff ein, um sich über den FQDN-Zugriff (empfohlen) oder den dateibasierten Zugriff bei den Clustern zu authentifizieren. Optional konfiguriert er die rollenbasierte Kubernetes-Zugriffssteuerung für Nutzer in diesen Clustern.