O Google Distributed Cloud suporta o OpenID Connect (OIDC) e o Lightweight Directory Access Protocol (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster, através do GKE Identity Service. O serviço de identidade do GKE é um serviço de autenticação que lhe permite usar as suas soluções de identidade existentes para autenticação em vários ambientes de cluster. Os utilizadores podem iniciar sessão e usar os seus clusters a partir da linha de comandos (todos os fornecedores) ou da Google Cloud consola (apenas OIDC), tudo através do seu fornecedor de identidade existente.
Pode usar fornecedores de identidade no local e acessíveis publicamente com o serviço de identidade do GKE. Por exemplo, se a sua empresa executar um servidor dos Serviços de federação do Active Directory (ADFS), o servidor ADFS pode funcionar como o seu fornecedor OpenID. Também pode usar serviços de fornecedores de identidade acessíveis publicamente, como o Okta. Os certificados do fornecedor de identidade podem ser emitidos por uma autoridade de certificação (AC) pública conhecida ou por uma AC privada.
CREATE
Para uma vista geral do funcionamento do GKE Identity Service, consulte o artigo Apresentamos o GKE Identity Service.
Se já usa ou quer usar IDs Google para iniciar sessão nos seus clusters do GKE em vez de um fornecedor OIDC ou LDAP, recomendamos que use o gateway Connect para autenticação. Saiba mais em Estabelecer ligação a clusters registados com o gateway do Connect.
Processo e opções de configuração
OIDC
Registe o GKE Identity Service como um cliente junto do seu fornecedor de OIDC seguindo as instruções em Configurar fornecedores para o GKE Identity Service.
Escolha uma das seguintes opções de configuração do cluster:
- Configure os seus clusters ao nível da frota seguindo as instruções em Configurar clusters para o serviço de identidade do GKE ao nível da frota (pré-visualização, Google Distributed Cloud versão 1.8 e superior). Com esta opção, a sua configuração de autenticação é gerida centralmente por Google Cloud.
- Configure os clusters individualmente seguindo as instruções em Configurar clusters para o serviço de identidade do GKE com OIDC. Uma vez que a configuração ao nível da frota é uma funcionalidade de pré-visualização, recomendamos que use esta opção em ambientes de produção se estiver a usar uma versão anterior do Google Distributed Cloud ou se precisar de funcionalidades do GKE Identity Service que ainda não são suportadas com a gestão do ciclo de vida ao nível da frota.
Configure o acesso dos utilizadores aos seus clusters, incluindo o controlo de acesso baseado em funções (RBAC), seguindo as instruções em Configurar o acesso dos utilizadores para o serviço de identidade do GKE.
LDAP
- Siga as instruções em Configure o serviço de identidade do GKE com o LDAP.
Aceder a clusters
Depois de o Serviço de identidade do GKE ter sido configurado, os utilizadores podem iniciar sessão em clusters configurados através da linha de comandos ou da Google Cloud consola.
- Saiba como iniciar sessão em clusters registados com o seu ID OIDC ou LDAP em Aceder a clusters através do GKE Identity Service.
- Saiba como iniciar sessão em clusters a partir da Google Cloud consola em Iniciar sessão num cluster a partir da Google Cloud consola (apenas OIDC).
Resolva problemas do fluxo de início de sessão
Para resolver problemas de fluxos de início de sessão que autenticam diretamente no servidor do GKE Identity Service com um nome de domínio totalmente qualificado (FQDN), pode usar a utilidade de diagnóstico do GKE Identity Service. O utilitário de diagnóstico simula fluxos de início de sessão com o seu fornecedor de OIDC para identificar rapidamente problemas de configuração. Esta ferramenta requer um cluster da versão 1.32 ou superior e só suporta OIDC. Para mais informações, consulte a utilidade de diagnóstico do serviço de identidade do GKE.