Google Distributed Cloud admite OpenID Connect (OIDC) y el Protocolo ligero de acceso a directorios (LDAP) como mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster, a través de GKE Identity Service. GKE Identity Service es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación en tus clústeres. Los usuarios pueden acceder y usar los clústeres desde la línea de comandos (todos los proveedores) o desde la Google Cloud consola (solo OIDC), todo con tu proveedor de identidad existente.
GKE Identity Service funciona con cualquier tipo de clúster de equipo físico: administrador, usuario, híbrido o independiente. Puedes usar proveedores de identidad locales y de acceso público. Si tu empresa ejecuta un servidor de los Servicios de federación de Active Directory (ADFS), este podría funcionar como tu proveedor de OpenID. También puedes usar servicios de proveedores de identidad de acceso público, como Okta. Una Public Certificate Authority (CA) conocida o una CA privada pueden emitir certificados de proveedor de identidad.
Para obtener una descripción general de cómo funciona GKE Identity Service, consulta Introducción a GKE Identity Service.
Si ya usas o quieres usar IDs de Google para acceder a tus clústeres de GKE en lugar de un proveedor de OIDC o LDAP, te recomendamos usar la puerta de enlace de Connect para la autenticación. Obtén más información en Conéctate a clústeres registrados con la puerta de enlace de Connect.
Antes de comenzar
Para solicitar el consentimiento de los usuarios y autorizar su cuenta de usuario, se usa un flujo de autenticación basado en el navegador. Los sistemas sin interfaz gráfica no son compatibles.
Para realizar la autenticación a través de la consola de Google Cloud , cada clúster que desees configurar debe estar registrado en tu flota de proyectos.
Proceso y opciones de configuración
GKE Identity Service admite proveedores de identidad mediante los siguientes protocolos:
OpenID Connect (OIDC). Proporcionamos instrucciones específicas para la configuración de algunos proveedores de OpenID populares, incluido Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
Protocolo ligero de acceso a directorios (LDAP). Puede usar GKE Identity Service para autenticar mediante LDAP con Active Directory o un servidor LDAP.
OIDC
Registra GKE Identity Service como cliente con tu proveedor de OIDC mediante las instrucciones que se indican en Configura proveedores para GKE Identity Service.
Elige entre las siguientes opciones de configuración del clúster:
Configura tus clústeres a nivel de la flota según las instrucciones de Configura clústeres para GKE Identity Service a nivel de la flota (vista previa, versión 1.8 y posteriores de Google Distributed Cloud). Con esta opción, Google Cloudadministra la configuración de autenticación de forma centralizada.
Configurar los clústeres de forma individual mediante las instrucciones en Configura clústeres para GKE Identity Service con OIDC. Debido a que la configuración a nivel de flota es una función de versión preliminar, te recomendamos usar esta opción en entornos de producción, si usas una versión anterior de Google Distributed Cloud o si necesitas funciones de GKE Identity Service que aún no son compatibles con la administración del ciclo de vida a nivel de la flota.
Configura el acceso de usuarios a tus clústeres, incluido el control de acceso basado en roles (RBAC), mediante las instrucciones de Configura el acceso de usuarios a GKE Identity Service.
LDAP
Para comenzar a usar LDAP, sigue las instrucciones en Configura GKE Identity Service con LDAP.
Clústeres de acceso
Después de configurar GKE Identity Service, los usuarios pueden acceder a los clústeres configurados mediante la línea de comandos o la Google Cloud consola.
Obtén información para acceder a clústeres registrados con tu ID de OIDC o LDAP en Accede a clústeres mediante GKE Identity Service.
Obtén información para acceder a los clústeres desde la consola de Google Cloud en Trabaja con clústeres desde la consola deGoogle Cloud (solo OIDC).
Soluciona problemas del flujo de acceso
Para solucionar problemas de flujos de acceso que se autentican directamente en el servidor de GKE Identity Service con un nombre de dominio completamente calificado (FQDN), puedes usar la utilidad de diagnóstico de GKE Identity Service. La utilidad de diagnóstico simula flujos de acceso con tu proveedor de OIDC para identificar rápidamente problemas de configuración. Esta herramienta requiere un clúster de la versión 1.32 o posterior, y solo admite OIDC. Para obtener más información, consulta la utilidad de diagnóstico de GKE Identity Service.