ניהול זהויות באמצעות שירות הזהויות של GKE

‫Google Distributed Cloud תומך ב-OpenID Connect ‏ (OIDC) וב-Lightweight Directory Access Protocol ‏ (LDAP) כמנגנוני אימות לאינטראקציה עם שרת Kubernetes API של אשכול, באמצעות GKE Identity Service. שירות הזהויות של GKE הוא שירות אימות שמאפשר לכם להשתמש בפתרונות הזהויות הקיימים שלכם לאימות בסביבות אשכולות מרובות. המשתמשים יכולים להתחבר לאשכולות ולהשתמש בהם משורת הפקודה (כל הספקים) או מהמסוף (OIDC בלבד), והכול באמצעות ספק הזהויות הקיים. Google Cloud

אתם יכולים להשתמש בספקי זהויות מקומיים ובספקי זהויות שאפשר לגשת אליהם באופן ציבורי באמצעות שירות הזהויות של GKE. לדוגמה, אם בארגון שלכם פועל שרת Active Directory Federation Services‏ (ADFS), שרת ה-ADFS יכול לשמש כספק OpenID. אפשר גם להשתמש בשירותים של ספקי זהויות שאפשר לגשת אליהם באופן ציבורי, כמו Okta. יכול להיות שספק הזהויות ינפיק אישורים באמצעות רשות אישורים (CA) ציבורית מוכרת, או באמצעות רשות אישורים פרטית.

סקירה כללית על אופן הפעולה של שירות הזהויות של GKE זמינה במאמר היכרות עם שירות הזהויות של GKE.

אם אתם כבר משתמשים במזהי Google כדי להיכנס לאשכולות GKE שלכם, או שאתם רוצים להשתמש בהם במקום בספק OIDC או LDAP, מומלץ להשתמש בשער Connect לאימות. מידע נוסף זמין במאמר חיבור לאשכולות רשומים באמצעות שער Connect.

תהליך ההגדרה ואפשרויות ההגדרה

OIDC

1. רושמים את GKE Identity Service כלקוח אצל ספק OIDC לפי ההוראות במאמר הגדרת ספקים ל-GKE Identity Service.

2. בוחרים מבין אפשרויות ההגדרה הבאות של האשכול:

   • מגדירים את האשכולות ברמת הצי לפי ההוראות במאמר הגדרת אשכולות ל-GKE Identity Service ברמת הצי (גרסת Preview, ‏ Google Distributed Cloud גרסה 1.8 ואילך). באפשרות הזו, הגדרת האימות מנוהלת באופן מרכזי על ידי Google Cloud.
   • מגדירים כל אשכול בנפרד לפי ההוראות במאמר הגדרת אשכולות ל-GKE Identity Service באמצעות OIDC. ההגדרה ברמת הצי היא תכונת Preview, ולכן כדאי להשתמש באפשרות הזו בסביבות ייצור אם אתם משתמשים בגרסה קודמת של Google Distributed Cloud, או אם אתם צריכים תכונות של GKE Identity Service שלא נתמכות עדיין בניהול מחזור חיים ברמת הצי.

3. מגדירים גישת משתמשים לאשכולות, כולל בקרת גישה מבוססת-תפקידים (RBAC), לפי ההוראות במאמר הגדרת גישת משתמשים ל-GKE Identity Service.

LDAP

• פועלים לפי ההוראות במאמר הגדרת GKE Identity Service באמצעות LDAP.

גישה לאשכולות

אחרי שמגדירים את שירות הזהויות של GKE, המשתמשים יכולים להתחבר לאשכולות שהוגדרו באמצעות שורת הפקודה או Google Cloud המסוף.

• במאמר גישה לאשכולות באמצעות GKE Identity Service מוסבר איך להיכנס לאשכולות רשומים באמצעות מזהה OIDC או LDAP.
• במאמר כניסה לאשכול מ- Google Cloud Console (OIDC בלבד) מוסבר איך להיכנס לאשכולות מ-Console. Google Cloud

פתרון בעיות בתהליך הכניסה

כדי לפתור בעיות בתהליכי כניסה שמאמתים ישירות בשרת GKE Identity Service באמצעות שם דומיין מוגדר במלואו (FQDN), אפשר להשתמש בכלי האבחון של GKE Identity Service. כלי האבחון מדמה תהליכי כניסה עם ספק OIDC כדי לזהות במהירות בעיות בהגדרות. הכלי הזה דורש אשכול בגרסה 1.32 ומעלה, והוא תומך רק ב-OIDC. מידע נוסף זמין במאמר כלי האבחון של GKE Identity Service.