Authentifizierungsverwaltung auf Flottenebene einrichten

In diesem Dokument wird Clusteradministratoren gezeigt, wie sie mehrere Cluster für die Authentifizierung von Identitätsanbietern von Drittanbietern mithilfe von Flotten einrichten. Google Cloud verwaltet die Konfiguration von Clustern in einer Flotte, was zu einem schnelleren und weniger komplexen Einrichtungsprozess führt als die Einrichtung einzelner Cluster. Weitere Informationen zum Authentifizierungsprozess von Drittanbietern finden Sie unter Authentifizierung mit Identitäten von Drittanbietern.

Hinweis

  1. Installieren und konfigurieren Sie die Google Cloud CLI:

    1. Installieren Sie die Google Cloud CLI.

    2. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    3. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

      gcloud init

    4. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

      gcloud components update
gcloud components install kubectl
    5. Wählen Sie in der gcloud CLI Ihr Flotten-Hostprojekt aus: 
      gcloud config set project FLEET_HOST_PROJECT_ID
       Ersetzen Sie FLEET_HOST_PROJECT_ID durch die Projekt ID Ihres Flotten-Hostprojekts.

  2. Aktivieren Sie die erforderlichen APIs:

    1. Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf:

      Zur Projektauswahl

    2. Wählen Sie Ihr Flotten-Hostprojekt aus.

    3. Aktivieren Sie die APIs für GKE Hub und Kubernetes Engine.

      Rollen, die zum Aktivieren von APIs erforderlich sind

      Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von Rollen.

      APIs aktivieren

  3. Achten Sie darauf, dass Ihr Plattformadministrator Ihnen alle Anbieterinformationen für das ausgewählte Protokoll gegeben hat. Weitere Informationen finden Sie in folgenden Dokumenten:

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Flottenadministrator“ (roles/gkehub.admin) für das Flotten-Hostprojekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Einrichten von Clustern auf Flottenebene benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Feature für Identitätsdienst auf Flottenebene aktivieren

Das Feature für Identitätsdienst auf Flottenebene verwendet einen Controller, um die Konfiguration in jedem der Cluster in der Flotte zu verwalten. Sie müssen das Feature auf Flottenebene nur im Flotten-Hostprojekt aktivieren.

Wählen Sie eine der folgenden Optionen aus, um das Feature auf Flottenebene zu aktivieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite GKE Identity Service auf.

    Zu GKE Identity Service

  2. Klicken Sie auf Identitätsdienst aktivieren.

gcloud

Aktivieren Sie das Feature für Identitätsdienst auf Flottenebene:

gcloud container fleet identity-service enable

Cluster konfigurieren

Zum Konfigurieren Ihrer Cluster müssen Sie die folgenden Informationen angeben:

  • Informationen zu Ihrem Identitätsanbieter, z. B. eine Client-ID und ein Secret.
  • Informationen zu den JSON Web Tokens (JWTs), die Ihr Identitätsanbieter für die Authentifizierung verwendet.
  • Alle zusätzlichen Bereiche oder Parameter, die für Ihren Identitätsanbieter eindeutig sind.

Weitere Informationen zu den Informationen, die Sie von Ihrem Plattformadministrator oder der Person, die die Identitäten in Ihrer Organisation verwaltet, benötigen, finden Sie in den folgenden Dokumenten:

Wenn Sie bereits Konfigurationen auf Clusterebene für OIDC-Anbieter haben, werden durch die Anwendung einer Konfiguration auf Flottenebene auf den Cluster alle vorhandenen Authentifizierungsspezifikationen überschrieben. Wenn außerdem Anbieterkonfigurationen auf Clusterebene vorhanden sind, die für die Konfiguration auf Flottenebene nicht unterstützt werden, schlägt diese Einrichtung fehl. Sie müssen die vorhandene Anbieterkonfiguration entfernen, um die Konfiguration auf Flottenebene anwenden zu können.

So konfigurieren Sie Ihre Cluster:

Console

  1. Wählen Sie die zu konfigurierenden Cluster aus:

    1. Rufen Sie in der Google Cloud Console die Seite GKE Identity Service auf.

      Zu Feature Manager

    2. Setzen Sie ein Häkchen bei den Clustern, die Sie konfigurieren möchten. Sie können einzelne Cluster auswählen oder festlegen, dass alle Cluster mit derselben Identitätskonfiguration konfiguriert werden sollen. Wenn Sie Standardeinstellungen auf Flottenebene konfiguriert haben, wird die Konfiguration wieder auf die Standardeinstellung zurückgesetzt.

    3. Klicken Sie auf Konfiguration aktualisieren. Der Bereich Clusterkonfiguration für Identitätsdienst bearbeiten wird geöffnet.

    4. Wählen Sie im Bereich Identitätsanbieter aus, wie Sie die Cluster konfigurieren möchten. Sie können eine vorhandene Konfiguration aktualisieren, eine Konfiguration aus einem anderen Cluster kopieren oder eine neue Konfiguration erstellen. Klicken Sie auf Identitätsanbieter hinzufügen, um eine neue Konfiguration zu erstellen. Der Bereich Neuer Identitätsanbieter wird angezeigt.

  2. Legen Sie im Bereich Neuer Identitätsanbieter die Anbieterdetails fest:

    OIDC

    1. Wählen Sie Neues OpenID Connect aus, um eine neue OIDC-Konfiguration zu erstellen.
    2. Geben Sie im Feld Anbietername den Namen an, den Sie verwenden möchten, um diese Konfiguration zu identifizieren. Dies ist in der Regel der Name des Identitätsanbieters. Der Name muss mit einem Buchstaben beginnen, gefolgt von bis zu 39 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Sie können diesen Namen nicht mehr bearbeiten, nachdem Sie eine Konfiguration erstellt haben.
    3. Geben Sie im Feld Client-ID die Client-ID des Identitätsanbieters an.
    4. Geben Sie im Feld Client-Secret die Clientschlüssel an, die von der Clientanwendung und dem Identitätsanbieter gemeinsam verwendet werden müssen.
    5. Geben Sie im Feld Aussteller-URL den URI an, über den Autorisierungsanfragen an Ihren Identitätsanbieter gesendet werden.
    6. Klicken Sie auf Weiter , um die OIDC-Attribute festzulegen.

    Azure AD

    1. Wählen Sie Neues Azure Active Directory aus, um eine neue Azure AD-Konfiguration zu erstellen.
    2. Geben Sie im Feld Anbietername den Namen an, den Sie verwenden möchten, um diese Konfiguration zu identifizieren. Dies ist in der Regel der Name des Identitätsanbieters. Der Name muss mit einem Buchstaben beginnen, gefolgt von bis zu 39 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Sie können diesen Namen nicht mehr bearbeiten, nachdem Sie eine Konfiguration erstellt haben.
    3. Geben Sie im Feld Client-ID die Client-ID des Identitätsanbieters an.
    4. Geben Sie im Feld Client-Secret die Clientschlüssel an, die von der Clientanwendung und dem Identitätsanbieter gemeinsam verwendet werden müssen.
    5. Geben Sie im Feld Mandant den Mandanten an, der das zu authentifizierende Azure AD-Konto ist.
    6. Klicken Sie auf Weiter , um die Azure AD-Attribute festzulegen.

    LDAP

    1. Wählen Sie LDAP aus, um eine neue LDAP-Konfiguration zu erstellen.
    2. Geben Sie im Feld Anbietername den Namen an, den Sie verwenden möchten, um diese Konfiguration zu identifizieren. Dies ist in der Regel der Name des Identitätsanbieters. Der Name muss mit einem Buchstaben beginnen, gefolgt von bis zu 39 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Sie können diesen Namen nicht mehr bearbeiten, nachdem Sie eine Konfiguration erstellt haben.
    3. Klicken Sie auf Weiter.
    4. Geben Sie den Hostnamen (erforderlich), den LDAP-Verbindungstyp und das base64-codierte CA-Zertifikat des LDAP-Servers an.
    5. Klicken Sie auf Weiter , um den Server zu konfigurieren.
    6. Geben Sie den Distinguished Name, den Filter, das Anmeldeattribut und das Attribut für die Kennung des Nutzers an.
    7. Klicken Sie auf Weiter , um die Nutzerdetails festzulegen.
    8. Wenn Sie Gruppen verwenden möchten, geben Sie den Distinguished Name, den Filter und das Attribut für die Kennung der Gruppe an.
    9. Klicken Sie auf Weiter , um die Gruppendetails festzulegen.
    10. Geben Sie den Nutzernamen und das Passwort des Dienstkontos an.
    11. Klicken Sie auf Fertig , um den Namen des Dienstkontos festzulegen.

  3. Klicken Sie auf Weiter. Der Bereich Attribute festlegen wird geöffnet.

  4. Legen Sie die Attribute für Ihren Identitätsanbieter fest. Wählen Sie eine der folgenden Optionen aus, um Attribute für OIDC oder Azure AD aufzurufen:

    OIDC

    • kubectl Weiterleitungs-URI: Die von der gcloud CLI verwendete Weiterleitungs-URL und der Weiterleitungsport, die von Ihrem Plattformadministrator bei der Registrierung angegeben wurden, normalerweise in der Form http://localhost:PORT/callback.
    • Zertifizierungsstelle (optional): Ein von Ihrem Plattformadministrator bereitgestellter PEM-codierter Zertifikatstring für den Identitätsanbieter.
    • Gruppen-Claim (optional): Der JWT-Claim (Feldname), den Ihr Anbieter zum Zurückgeben der Sicherheitsgruppen eines Kontos verwendet.
    • Gruppenpräfix (optional): Das Präfix, das Sie Namen von Sicherheitsgruppen voranstellen möchten, um Konflikte mit vorhandenen Namen in Ihren Zugriffssteuerungsregeln zu vermeiden, wenn Sie Konfigurationen für mehrere Identitätsanbieter haben (normalerweise der Anbietername).
    • Proxy (optional): Proxyserver-Adresse, die zum Herstellen einer Verbindung mit dem Identitätsanbieter verwendet werden soll (falls zutreffend). Diese Angabe ist möglicherweise erforderlich, wenn sich der Cluster beispielsweise in einem privaten Netzwerk befindet und eine Verbindung zu einem öffentlichen Identitätsanbieter hergestellt werden muss. Beispiel: http://user:password@10.10.10.10:8888.
    • Bereiche (optional): Alle weiteren für Ihren Identitätsanbieter erforderlichen Bereiche. Microsoft Azure und Okta benötigen den Bereich offline_access. Klicken Sie gegebenenfalls auf Bereich hinzufügen , um weitere Bereiche hinzuzufügen.
    • Nutzer-Claim (optional): Der JWT-Claim (Feldname), den Ihr Anbieter zum Identifizieren eines Kontos verwendet. Wenn Sie hier keinen Wert angeben, verwendet der Cluster „sub“. Dies ist die Nutzer-ID-Anforderung, die von vielen Anbietern verwendet wird. Je nach OpenID-Anbieter können Sie andere Anforderungen auswählen, beispielsweise „E-Mail“ oder „Name“. Anderen Anforderungen als der E-Mail-Adresse wird die Aussteller-URL vorangestellt, um Namenskonflikte zu vermeiden.
    • Nutzerpräfix (optional): Das Präfix, das Sie Nutzeranforderungen voranstellen möchten, um Konflikte mit vorhandenen Namen zu vermeiden, wenn Sie nicht das Standardpräfix verwenden möchten.
    • Zusätzliche Parameter (optional): Alle zusätzlichen Parameter, die für die Konfiguration erforderlich sind. Sie werden als Parameter Schlüssel und Wert angegeben. Klicken Sie auf Parameter hinzufügen , um bei Bedarf weitere Parameter hinzuzufügen.
    • Zugriffstoken aktivieren (optional): Wenn diese Option aktiviert ist, wird die Gruppenunterstützung für OIDC-Anbieter wie Okta ermöglicht.
    • Bereitstellen Google Cloud Console-Proxy (optional): Wenn diese Option aktiviert ist, wird ein Proxy bereitgestellt, mit dem die Google Cloud Console eine Verbindung zu einem lokalen Identitätsanbieter herstellen kann, der nicht über das Internet öffentlich zugänglich ist.

    Azure AD

    • kubectl Weiterleitungs-URI: Die von der gcloud CLI verwendete Weiterleitungs-URL und der Weiterleitungsport, die von Ihrem Plattformadministrator bei der Registrierung angegeben wurden, normalerweise in der Form http://localhost:PORT/callback.
    • Nutzer-Claim (optional): Der JWT-Claim (Feldname), den Ihr Anbieter zum Identifizieren eines Kontos verwendet. Wenn Sie hier keinen Wert angeben, verwendet der Cluster einen Wert in der Reihenfolge „email“, „preferred_username“ oder „sub“, um die Nutzerdetails abzurufen.
    • Proxy (optional): Proxyserver-Adresse, die zum Herstellen einer Verbindung mit dem Identitätsanbieter verwendet werden soll (falls zutreffend). Diese Angabe ist möglicherweise erforderlich, wenn sich der Cluster beispielsweise in einem privaten Netzwerk befindet und eine Verbindung zu einem öffentlichen Identitätsanbieter hergestellt werden muss. Beispiel: http://user:password@10.10.10.10:8888.

  5. Klicken Sie auf Fertig.

  6. Optional: Wenn Sie der Konfiguration weitere Anbieter hinzufügen möchten, klicken Sie auf Identitätsanbieter hinzufügen und wiederholen Sie die vorherigen Schritte.

  7. Klicken Sie auf Konfiguration aktualisieren.

Dadurch werden bei Bedarf alle erforderlichen Komponenten installiert und die Clientkonfiguration wird auf die ausgewählten Cluster angewendet.

gcloud

Wenn Sie die gcloud CLI zum Konfigurieren der Flotte verwenden möchten, erstellen Sie eine Kubernetes benutzerdefinierte Ressource namens ClientConfig mit Feldern für alle Informationen, die der Cluster für die Interaktion mit dem Identitätsanbieter benötigt. So erstellen und verwenden Sie eine ClientConfig:

  1. Erstellen Sie eine ClientConfig-Spezifikation in einer Datei namens auth-config.yaml. Wählen Sie eine der folgenden Optionen aus, um Beispielkonfigurationen für OIDC, SAML oder LDAP aufzurufen. Andere Konfigurationen für Identitätsanbieter finden Sie unter Anbieterspezifische Konfigurationen.

    OIDC

    Die folgende Beispiel-ClientConfig zeigt sowohl eine oidc- als auch eine azuread-Konfiguration. Weitere Informationen dazu, wann Sie oidc oder azuread verwenden sollten, finden Sie unter Anbieterspezifische Konfigurationen.

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: NAME
    proxy: PROXY_URL
    oidc:
      certificateAuthorityData: CERTIFICATE_STRING
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      deployCloudConsoleProxy: PROXY_BOOLEAN
      extraParams: EXTRA_PARAMS
      groupsClaim: GROUPS_CLAIM
      groupPrefix: GROUP_PREFIX
      issuerURI: ISSUER_URI
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: SCOPES
      userClaim: USER_CLAIM
      userPrefix: USER_PREFIX
  - name: azure
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_UUID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM

    Weitere Informationen zu den Feldern im oidc-Objekt finden Sie unter ClientConfig-OIDC-Felder.

    SAML

    Die folgende Beispiel-ClientConfig zeigt eine saml-Konfiguration:

        apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
    metadata:
      name: default
      namespace: kube-public
    spec:
      authentication:
      - name: NAME
        saml:
          idpEntityID: ENTITY_ID
          idpSingleSignOnURI: SIGN_ON_URI
          idpCertificateDataList: IDP_CA_CERT
          userAttribute: USER_ATTRIBUTE
          groupsAttribute: GROUPS_ATTRIBUTE
          userPrefix: USER_PREFIX
          groupPrefix: GROUP_PREFIX
          attributeMapping:
            ATTRIBUTE_KEY_1 : ATTRIBUTE_CEL_EXPRESSION_1
            ATTRIBUTE_KEY_2 : ATTRIBUTE_CEL_EXPRESSION_2
        certificateAuthorityData: CERTIFICATE_STRING
        preferredAuthentication: PREFERRED_AUTHENTICATION
        server: <>

    Weitere Informationen zu diesen Feldern finden Sie unter ClientConfig-SAML-Felder.

    LDAP

    Die folgende Beispiel-ClientConfig zeigt eine ldap-Konfiguration:

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: ldap
    ldap:
      server:
        host: HOST_NAME
        connectionType: CONNECTION_TYPE
        certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
      user:
        baseDn: BASE_DN
        loginAttribute: LOGIN_ATTRIBUTE
        filter: FILTER
        identifierAttribute: IDENTIFIER_ATTRIBUTE
      group:
        baseDn: BASE_DN
        filter: FILTER
        identifierAttribute: IDENTIFIER_ATTRIBUTE
      serviceAccount:
        simpleBindCredentials:
          dn: DISTINGUISHED_NAME
          password: PASSWORD

    Weitere Informationen zu diesen Feldern finden Sie unter ClientConfig-LDAP-Felder.

    Sie können derselben ClientConfig mehrere Konfigurationen für Identitätsanbieter hinzufügen. Der Cluster versucht, sich mit jeder Konfiguration in der Reihenfolge zu authentifizieren, in der sie definiert sind, und beendet den Vorgang nach der ersten erfolgreichen Authentifizierung.

  2. Wenden Sie die ClientConfig auf einen Cluster an:

    gcloud container fleet identity-service apply \
    --membership=CLUSTER_NAME \
    --config=auth-config.yaml

    Ersetzen Sie CLUSTER_NAME durch den eindeutigen Namen Ihres Clusters innerhalb der Flotte.

Der Cluster installiert alle erforderlichen Komponenten und verwendet die von Ihnen erstellte ClientConfig. Der Controller auf Flottenebene verwaltet die Konfiguration für den Cluster. Alle lokalen Änderungen an der Clusterkonfiguration werden vom Controller mit der Konfiguration auf Flottenebene abgeglichen.

Bei einigen Clusterversionen fügt das Anwenden der Konfiguration auf Flottenebene standardmäßig eine zusätzliche authentication-Konfiguration auf Ihre Cluster. Dadurch kann der Cluster Google Groups-Informationen für Nutzerkonten abrufen, die sich mit ihrer Google-ID anmelden. Diese Konfiguration gilt für Cluster in Google Distributed Cloud (sowohl VMware als auch Bare-Metal). Weitere Informationen zum Feature „Google Groups“ finden Sie unter Connect-Gateway mit Google Groups einrichten.

Wenn Sie die Konfiguration nicht mehr mit dem Controller auf Flottenebene verwalten möchten, z. B. weil Sie andere Authentifizierungsoptionen verwenden möchten, können Sie dieses Feature deaktivieren. Folgen Sie dazu der Anleitung unter Verwaltung von Identitäten auf Flottenebene deaktivieren.

Anbieterspezifische Konfigurationen

Dieser Abschnitt enthält Konfigurationsanleitungen für OIDC-Anbieter wie Azure AD und Okta, einschließlich einer Beispielkonfiguration, die Sie kopieren und mit Ihren eigenen Details bearbeiten können.

Azure AD

Dies ist die Standardkonfiguration für die Einrichtung der Authentifizierung mit Azure AD. Mit dieser Konfiguration kann der Cluster Nutzer und Gruppeninformationen von Azure AD abrufen und die rollenbasierte Zugriffssteuerung (RBAC) basierend auf Gruppen einrichten. Bei dieser Konfiguration können jedoch nur etwa 200 Gruppen pro Nutzer abgerufen werden.

Wenn Sie mehr als 200 Gruppen pro Nutzer abrufen müssen, lesen Sie die Anleitung für Azure AD (Erweitert).

...
spec:
  authentication:
  - name: oidc-azuread
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      extraParams: prompt=consent, access_type=offline
      issuerURI: https://login.microsoftonline.com/TENANT_ID/v2.0
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: openid,email,offline_access
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Azure AD (Erweitert)

Mit dieser optionalen Konfiguration für Azure AD kann der Cluster Nutzer- und Gruppeninformationen mit unbegrenzter Anzahl von Gruppen pro Nutzer über die Microsoft Graph API abrufen. Informationen zu Plattformen, die diese Konfiguration unterstützen, finden Sie unter Informationen zur Einrichtung des Identitätsanbieters.

Wenn Sie weniger als 200 Gruppen pro Nutzer abrufen müssen, empfehlen wir die Verwendung der Standardkonfiguration mit einem oidc-Anchor in Ihrer ClientConfig. Weitere Informationen finden Sie in der Anleitung für Azure AD.

Alle Felder in der Beispielkonfiguration sind erforderlich.

...
spec:
  authentication:
  - name: azure
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_UUID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Ersetzen Sie GROUP_FORMAT durch das Format, in dem Sie Gruppeninformationen abrufen möchten. Dieses Feld kann Werte haben, die der ID oder dem NAME der Nutzergruppen entsprechen. Diese Einstellung ist nur für Cluster in Google Distributed Cloud-Bereitstellungen (lokal) verfügbar.

Okta

Im Folgenden wird gezeigt, wie Sie die Authentifizierung mithilfe von Nutzern und Gruppen mit Okta als Identitätsanbieter einrichten. Mit dieser Konfiguration kann der Cluster Nutzer- und Gruppenanforderungen mithilfe eines Zugriffstokens und des userinfo-Endpunkts von Okta abrufen.

...
spec:
  authentication:
  - name: okta
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      enableAccessToken: true
      extraParams: prompt=consent
      groupsClaim: groups
      issuerURI: https://OKTA_ISSUER_URI/
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: offline_access,email,profile,groups
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Standardeinstellungen auf Flottenebene konfigurieren

Sie können eine Standardkonfiguration auf Flottenebene für die Authentifizierung angeben. Bei dieser Einrichtung verwendet jeder neue Cluster, den Sie bei der Flotte registrieren, automatisch die von Ihnen angegebene Authentifizierungskonfiguration.

Vorhandene Flottenmitglieder-Cluster werden nicht automatisch aktualisiert, wenn Sie eine Standardkonfiguration auf Flottenebene angeben. Optional können Sie Ihre Standardkonfiguration auf diese Cluster anwenden. Weitere Informationen zum Verwalten der Konfiguration auf Flottenebene finden Sie unter Features auf Flottenebene verwalten.

Nachdem Sie eine Standardeinstellung auf Flottenebene festgelegt haben, werden alle lokalen Änderungen an der Authentifizierungskonfiguration einzelner Cluster überschrieben, wenn der Flottencontroller den Cluster mit der Standardkonfiguration abgleicht.

So konfigurieren Sie eine Standardkonfiguration auf Flottenebene:

  1. Erstellen Sie eine ClientConfig in einer Datei namens fleet-default.yaml. Weitere Informationen zum Erstellen der Datei finden Sie in den Schritten zur gcloud CLI im Abschnitt Cluster konfigurieren.

  2. Führen Sie einen der folgenden Befehle aus, um die Standardkonfiguration auf Flottenebene anzuwenden:

    • Wenn das Feature für Identitätsdienst auf Flottenebene nicht aktiviert ist, aktivieren Sie es und geben Sie die Standardkonfiguration auf Flottenebene an:

      gcloud container fleet identity-service enable --fleet-default-member-config=fleet-default.yaml

    • Wenn das Feature für Identitätsdienst auf Flottenebene aktiviert ist, wenden Sie die neue Standardkonfiguration auf Flottenebene an:

      gcloud container fleet identity-service apply --fleet-default-member-config=default-config.yaml

    Neue Cluster, die Sie bei der Flotte registrieren, verwenden standardmäßig diese Konfiguration. Vorhandene Flottenmitglieder-Cluster übernehmen die neue Standardkonfiguration nicht automatisch.

  3. Führen Sie den folgenden Befehl aus, um die Standardkonfiguration auf einen vorhandenen Flottenmitglieder-Cluster anzuwenden:

    gcloud container fleet identity-service apply --origin=fleet --membership=CLUSTER_NAME

Standardkonfiguration auf Flottenebene entfernen

Führen Sie den folgenden Befehl aus, um die Standardkonfiguration zu entfernen:

gcloud container fleet identity-service delete --fleet-default-member-config

Neue Cluster, die Sie bei der Flotte registrieren, verwenden nicht automatisch eine Authentifizierungskonfiguration.

Konfiguration des Identitätsdienstes überprüfen

Nachdem Sie die Einrichtung auf Flottenebene abgeschlossen haben, können Sie prüfen, ob die Cluster in Ihrer Flotte erfolgreich mit der von Ihnen angegebenen Konfiguration des Identitätsdienstes konfiguriert wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Feature Manager auf.

    Zu Feature Manager

    Alle aktivierten Funktionen werden in ihrem Bereich als Aktiviert aufgeführt.

  2. Klicken Sie im Bereich Identity Service auf DETAILS. Ein Detailbereich zeigt den Status Ihrer registrierten Cluster an.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud container fleet identity-service describe

Nächste Schritte

Nachdem Sie die Cluster konfiguriert haben, fahren Sie mit dem Einrichten des Nutzerzugriffs fort.