Google Distributed Cloud admite OpenID Connect (OIDC) y el Protocolo ligero de acceso a directorios (LDAP) como mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster, mediante el Servicio de identidad de GKE. Servicio de identidad de GKE es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación en múltiples entornos de clúster. Los usuarios pueden acceder y usar los clústeres desde la línea de comandos (todos los proveedores) o desde la Google Cloud consola (solo OIDC), todo con tu proveedor de identidad existente.
Puedes usar proveedores de identidad locales y de acceso público con el Servicio de identidad de GKE. Si tu empresa ejecuta un servidor de los Servicios de federación de Active Directory (ADFS) , este podría funcionar como tu proveedor de OpenID. También puedes usar servicios de proveedores de identidad de acceso público, como Okta. Una Public Certificate Authority (CA) conocida o una CA privada pueden emitir certificados de proveedor de identidad.
Para obtener una descripción general de cómo funciona el Servicio de identidad de GKE, consulta Introducción al Servicio de identidad de GKE.
Si ya usas o quieres usar IDs de Google para acceder a tus clústeres de GKE en lugar de un proveedor de OIDC o LDAP, te recomendamos usar la puerta de enlace de Connect para la autenticación. Obtén más información en Conéctate a clústeres registrados con la puerta de enlace de Connect.
Proceso y opciones de configuración
OIDC
Registra Servicio de identidad de GKE como cliente con tu proveedor de OIDC mediante las instrucciones que se indican en Configura proveedores para Servicio de identidad de GKE.
Elige entre las siguientes opciones de configuración del clúster:
- Configura tus clústeres a nivel de la flota según las instrucciones de Configura clústeres para Servicio de identidad de GKE a nivel de flota (vista previa, Google Distributed Cloud versión 1.8 y posteriores). Con esta opción, tu configuración de autenticación se administra de forma centralizada Google Cloud.
- Configurar los clústeres de forma individual mediante las instrucciones en Configura clústeres para Servicio de identidad de GKE con OIDC. Debido a que la configuración a nivel de flota es una función de versión preliminar, te recomendamos usar esta opción en entornos de producción, si usas una versión anterior de Google Distributed Cloud o si necesitas funciones del Servicio de identidad de GKE que aún no son compatibles con la administración del ciclo de vida a nivel de la flota.
Configura el acceso de usuarios a tus clústeres, incluido el control de acceso basado en funciones (RBAC), mediante las instrucciones de Configura el acceso de usuarios para el Servicio de identidad de GKE.
LDAP
- Sigue las instrucciones en Configura el Servicio de identidad de GKE con LDAP.
Accede a clústeres
Después de configurar el Servicio de identidad de GKE, los usuarios pueden acceder a los clústeres configurados mediante la línea de comandos o la Google Cloud consola.
- Obtén información para acceder a clústeres registrados con tu ID de OIDC o LDAP en Accede a clústeres mediante Servicio de identidad de GKE.
- Obtén información para acceder a clústeres desde la Google Cloud consola en Accede a un clúster desde la Google Cloud consola (solo OIDC).
Soluciona problemas del flujo de acceso
Para solucionar problemas de los flujos de acceso que se autentican directamente en el servidor de Servicio de identidad de GKE con un nombre de dominio completamente calificado (FQDN), puedes usar la utilidad de diagnóstico de Servicio de identidad de GKE. La utilidad de diagnóstico simula flujos de acceso con tu proveedor de OIDC para identificar rápidamente problemas de configuración. Esta herramienta requiere un clúster de la versión 1.32 o posterior y solo admite OIDC. Para obtener más información, consulta Utilidad de diagnóstico de Servicio de identidad de GKE.