您可以使用现有的第三方身份提供方对已注册到舰队的 Kubernetes 集群进行身份验证。本文档介绍了支持的身份验证协议以及支持每种协议的集群类型。用户可以通过命令行或 Google Cloud 控制台访问和管理集群,而无需您更改您的身份提供方。
如果您想使用 Google ID(而不是身份提供方)登录集群,请参阅使用 Connect 网关连接到已注册的集群。
支持的身份提供方
如果您有第三方身份提供方,可以使用以下协议对集群进行身份验证:
- OpenID Connect (OIDC):OIDC 是一种基于 OAuth 2.0 授权框架构建的现代轻量级身份验证协议。我们针对常用的 OpenID Connect 提供商(包括 Microsoft)提供了具体的设置说明,但您可以使用任何实施 OIDC 的提供商。
- 安全断言标记语言 (SAML):SAML 是一种基于 XML 的标准,用于在各方之间交换身份验证和授权数据,主要是在身份提供方 (IdP) 和服务提供商 (SP) 之间。
- 轻量级目录访问协议 (LDAP):LDAP 是一种成熟的标准化协议,用于访问和管理目录信息服务。它通常用于存储和检索用户信息,例如用户名、密码和群组成员资格。您可以使用 LDAP 和 Active Directory 或 LDAP 服务器进行身份验证。
支持的集群类型
此身份验证服务只能安装在已注册到舰队的集群上。大多数集群类型始终注册到舰队。对于 Google Cloud上的 GKE 集群,您必须明确将集群注册到舰队才能使用此服务。
下表介绍了支持第三方身份验证的集群类型,以及您可以针对每种类型使用的特定协议:
| 支持的集群类型和协议 | |
|---|---|
| GDC (VMware) |
支持以下协议:
|
| GDC (Bare Metal) |
支持以下协议:
|
| GKE on Google Cloud (仅限舰队成员) | 支持 OIDC |
| GKE on AWS |
支持 OIDC |
| GKE on Azure |
支持 OIDC |
不支持以下配置:
- GKE 关联集群:不支持任何 EKS、AKS 或其他 Kubernetes 安装。如需连接到这些 GKE 关联集群,请使用 Connect 网关。
- 对于 VMware 的 Google Distributed Cloud 部署,您可以使用 LDAP 协议仅对“用户集群”进行身份验证。VMware 上的管理员集群不支持使用 LDAP 进行身份验证。
- Google Cloud上的 GKE 集群:您的 GKE 集群必须注册到舰队。如需连接到不在舰队中的 GKE 集群,请使用员工身份联合。
设置过程
设置通过第三方身份提供方进行身份验证涉及以下用户和步骤:
- 配置提供方:平台管理员向其身份提供方注册客户端应用。此客户端应用根据具体协议提供适用于 Kubernetes 的配置。平台管理员从身份提供方处获取客户端 ID 和密钥。
设置集群:集群管理员可为您的身份服务设置集群。集群管理员可以按如下方式设置集群:
- 舰队级设置:集群管理员配置已注册到特定舰队的所有集群。您可以使用此方法一次性设置多个具有类似配置的集群。如需了解详情,请参阅设置舰队级身份验证。
单个集群设置:集群管理员单独配置每个集群。如果不同集群类型需要不同的身份验证配置,请使用此方法。有关详情,请参阅以下文档:
设置用户访问权限:集群管理员使用 FQDN 访问权限(推荐)或基于文件的访问权限方法设置用户登录访问权限以对集群进行身份验证,并可选择为这些集群上的用户配置 Kubernetes 基于角色的访问控制 (RBAC)。