Google Distributed Cloud mendukung OpenID Connect (OIDC) dan Lightweight Directory Access Protocol (LDAP) sebagai mekanisme autentikasi untuk berinteraksi dengan server API Kubernetes cluster, menggunakan GKE Identity Service. GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda menggunakan solusi identitas yang sudah ada untuk autentikasi ke cluster Anda. Pengguna dapat login dan menggunakan cluster dari command line (semua penyedia) atau dari Google Cloud konsol (khusus OIDC), semuanya menggunakan penyedia identitas Anda yang sudah ada.
GKE Identity Service berfungsi dengan semua jenis cluster bare metal: admin, pengguna, hybrid, atau mandiri. Anda dapat menggunakan penyedia identitas lokal dan yang dapat dijangkau secara publik. Misalnya, jika perusahaan Anda menjalankan server Active Directory Federation Services (ADFS), server ADFS dapat berfungsi sebagai penyedia OpenID Anda. Anda juga dapat menggunakan layanan penyedia identitas yang dapat dijangkau secara publik seperti Okta. Sertifikat penyedia identitas dapat dikeluarkan oleh certificate authority (CA) publik yang terkenal, atau oleh CA pribadi.
Untuk ringkasan cara kerja GKE Identity Service, lihat Pengantar GKE Identity Service.
Jika Anda sudah menggunakan atau ingin menggunakan ID Google untuk login ke cluster GKE, bukan penyedia OIDC atau LDAP, sebaiknya gunakan gateway connect untuk autentikasi. Cari tahu selengkapnya di Menghubungkan ke cluster terdaftar dengan gateway connect.
Sebelum memulai
Untuk meminta persetujuan pengguna dan mengotorisasi akun pengguna mereka, alur autentikasi berbasis browser digunakan. Sistem headless tidak didukung.
Untuk melakukan autentikasi melalui Google Cloud konsol, setiap cluster yang ingin Anda konfigurasi harus terdaftar di fleet project Anda.
Proses dan opsi penyiapan
GKE Identity Service mendukung penyedia identitas menggunakan protokol berikut:
OpenID Connect (OIDC). Kami memberikan petunjuk penyiapan khusus untuk beberapa penyedia OpenID populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia yang menerapkan OIDC.
Lightweight Directory Access Protocol (LDAP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
OIDC
Daftarkan GKE Identity Service sebagai klien dengan penyedia OIDC Anda dengan mengikuti petunjuk di Mengonfigurasi penyedia untuk GKE Identity Service.
Pilih dari opsi konfigurasi cluster berikut:
(Direkomendasikan) Konfigurasikan cluster Anda di tingkat fleet dengan mengikuti petunjuk di Mengonfigurasi cluster untuk GKE Identity Service tingkat fleet. Dengan opsi ini, konfigurasi autentikasi Anda dikelola secara terpusat oleh Google Cloud.
Konfigurasikan cluster Anda satu per satu dengan mengikuti petunjuk di Mengonfigurasi cluster untuk GKE Identity Service dengan OIDC.
Siapkan akses pengguna ke cluster Anda, termasuk kontrol akses berbasis peran (RBAC), dengan mengikuti petunjuk di Menyiapkan akses pengguna untuk GKE Identity Service.
LDAP
Untuk memulai LDAP, ikuti petunjuk di Menyiapkan GKE Identity Service dengan LDAP.
Mengakses cluster
Setelah GKE Identity Service disiapkan, pengguna dapat login ke cluster yang dikonfigurasi menggunakan command line atau konsol. Google Cloud
(Direkomendasikan) Pelajari cara login ke cluster terdaftar dengan ID OIDC atau LDAP Anda di Mengakses cluster menggunakan GKE Identity Service.
Pelajari cara login ke cluster dari Google Cloud konsol di Bekerja dengan cluster dari Google Cloud konsol (khusus OIDC).
Memecahkan masalah alur login
Untuk memecahkan masalah alur login yang melakukan autentikasi langsung di server GKE Identity Service dengan nama domain yang sepenuhnya memenuhi syarat (FQDN), Anda dapat menggunakan utilitas diagnostik GKE Identity Service. Utilitas diagnostik mensimulasikan alur login dengan penyedia OIDC Anda untuk mengidentifikasi masalah konfigurasi dengan cepat. Alat ini memerlukan cluster versi 1.32 atau yang lebih tinggi dan hanya mendukung OIDC. Untuk mengetahui informasi selengkapnya, lihat Utilitas diagnostik GKE Identity Service.