您可以使用現有的第三方識別資訊提供者,向 Kubernetes 叢集進行驗證。本文說明支援的驗證通訊協定,以及支援各通訊協定的叢集類型。使用者可以透過指令列或Google Cloud 控制台存取及管理叢集,您不必變更身分識別提供者。
如果您偏好使用 Google ID 登入 GKE 叢集,而非識別資訊提供者,請參閱「透過 Connect 閘道連線至已註冊的叢集」。
支援的識別資訊提供者
如果您有第三方識別資訊提供者,可以使用下列通訊協定向叢集進行驗證:
- OpenID Connect (OIDC):OIDC 是以 OAuth 2.0 授權架構為基礎建構的現代輕量型驗證通訊協定。我們提供部分熱門 OpenID Connect 提供者 (包括 Microsoft) 的設定具體操作說明,但您可以使用任何實作 OIDC 的提供者。
- 安全宣告標記語言 (SAML):SAML 是一種以 XML 為基礎的標準,用於在各方之間交換驗證和授權資料,主要是在識別資訊提供者 (IdP) 和服務供應商 (SP) 之間交換。
- 輕量型目錄存取通訊協定 (LDAP):LDAP 是成熟的標準化通訊協定,可存取及管理目錄資訊服務。LDAP 通常用於儲存及擷取使用者資訊,例如使用者名稱、密碼和群組成員資格。您可以使用 LDAP 搭配 Active Directory 或 LDAP 伺服器進行驗證。
支援的叢集類型
| 通訊協定 | GDC (VMware) | GDC (裸機) | GKE on AWS | GKE on Azure | GKE on Google Cloud |
|---|---|---|---|---|---|
| OIDC | |||||
| LDAP | |||||
| SAML |
您無法透過第三方身分識別資訊提供者,驗證其他附加叢集類型。
設定程序
如要設定由第三方識別資訊提供者進行驗證,需要下列使用者和步驟:
- 設定供應商: 平台管理員向身分識別供應商註冊用戶端應用程式。這個用戶端應用程式具有 Kubernetes 的通訊協定專屬設定。平台管理員會從身分識別提供者取得用戶端 ID 和密鑰。
- 設定個別叢集或設定機群:叢集管理員會為身分識別服務設定叢集。叢集管理員可以為 Google Distributed Cloud (VMware 和 Bare Metal)、AWS 上的 GKE 或 Azure 上的 GKE 設定個別叢集。或者,您也可以選擇設定整個機群,這是叢集的邏輯群組,可讓您在這些叢集中啟用功能及更新設定。
- 設定使用者存取權: 叢集管理員會設定使用者登入存取權,以便使用完整網域名稱 (FQDN) 存取 (建議) 或檔案存取方法,向叢集進行驗證,並視需要為這些叢集的使用者設定 Kubernetes 角色式存取控管 (RBAC)。