Authentifizierungsverwaltung auf Flottenebene einrichten

In diesem Dokument wird Clusteradministratoren gezeigt, wie sie mehrere Cluster für die Authentifizierung von Drittanbieter-Identitätsanbietern mithilfe von Flotten einrichten. Google Cloud verwaltet die Konfiguration von Clustern in einer Flotte, was zu einem schnelleren und weniger komplexen Einrichtungsprozess führt als die Einrichtung einzelner Cluster. Weitere Informationen zum Authentifizierungsprozess von Drittanbietern finden Sie unter Authentifizierung mit Identitäten von Drittanbietern.

Hinweise

  1. Installieren und konfigurieren Sie die Google Cloud CLI:

    1. Install the Google Cloud CLI.

    2. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    3. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

      gcloud init

    4. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

      gcloud components update
gcloud components install kubectl
    5. Wählen Sie in der gcloud CLI Ihr Flotten-Hostprojekt aus: 
      gcloud config set project FLEET_HOST_PROJECT_ID
       Ersetzen Sie FLEET_HOST_PROJECT_ID durch die Projekt-ID des Flotten-Hostprojekts.

  2. Aktivieren Sie die erforderlichen APIs:

    1. Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf:

      Zur Projektauswahl

    2. Wählen Sie Ihr Flotten-Hostprojekt aus.

    3. Enable the GKE Hub and Kubernetes Engine APIs.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the APIs

  3. Achten Sie darauf, dass Ihr Plattformadministrator Ihnen alle Anbieterinformationen für das ausgewählte Protokoll zur Verfügung gestellt hat. Weitere Informationen finden Sie in den folgenden Dokumenten:

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Fleet Admin (roles/gkehub/admin) für das Flotten-Hostprojekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Einrichten von Clustern auf Flottenebene benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Feature für Identity Service auf Flottenebene aktivieren

Für die Funktion „Identitätsdienst auf Flottenebene“ wird ein Controller verwendet, um die Konfiguration in den einzelnen Clustern der Flotte zu verwalten. Sie müssen das Feature auf Flottenebene nur im Flotten-Hostprojekt aktivieren.

Wählen Sie eine der folgenden Optionen aus, um das Feature auf Flottenebene zu aktivieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite GKE Identity Service auf.

    Zu Feature Manager

  2. Klicken Sie auf Identity Service aktivieren.

gcloud

Aktivieren Sie das Feature für den Identitätsdienst auf Flottenebene:

gcloud container fleet identity-service enable

Cluster konfigurieren

Wenn Sie Ihre Cluster konfigurieren möchten, müssen Sie die folgenden Informationen angeben:

  • Informationen zu Ihrem Identitätsanbieter, z. B. eine Client-ID und ein Secret.
  • Informationen zu den JSON Web Tokens (JWTs), die Ihr Identitätsanbieter für die Authentifizierung verwendet.
  • Alle zusätzlichen Bereiche oder Parameter, die für Ihren Identitätsanbieter spezifisch sind.

Weitere Informationen zu den Informationen, die Sie von Ihrem Plattformadministrator oder der Person, die die Identitäten in Ihrer Organisation verwaltet, benötigen, finden Sie in den folgenden Dokumenten:

Wenn Sie bereits Konfigurationen auf Clusterebene für OIDC-Anbieter haben, werden durch die Anwendung einer Konfiguration auf Flottenebene auf den Cluster alle vorhandenen Authentifizierungsspezifikationen überschrieben. Wenn Anbieterkonfigurationen auf Clusterebene vorhanden sind, die für die Konfiguration auf Flottenebene nicht unterstützt werden, schlägt diese Einrichtung fehl. Sie müssen die vorhandene Anbieterkonfiguration entfernen, um die Konfiguration auf Flottenebene anwenden zu können.

So konfigurieren Sie Ihre Cluster:

Console

  1. Wählen Sie die zu konfigurierenden Cluster aus:

    1. Rufen Sie in der Google Cloud Console die Seite GKE Identity Service auf.

      Zu Feature Manager

    2. Setzen Sie ein Häkchen bei den Clustern, die Sie konfigurieren möchten. Sie können einzelne Cluster auswählen oder festlegen, dass alle Cluster mit derselben Identitätskonfiguration konfiguriert werden sollen. Wenn Sie Standardeinstellungen auf Flottenebene konfiguriert haben, wird die Konfiguration auf die Standardeinstellung zurückgesetzt.

    3. Klicken Sie auf Konfiguration aktualisieren. Der Bereich Clusterkonfiguration für Identitätsdienst bearbeiten wird geöffnet.

    4. Wählen Sie im Abschnitt Identitätsanbieter aus, wie Sie die Cluster konfigurieren möchten. Sie können eine vorhandene Konfiguration aktualisieren, eine Konfiguration aus einem anderen Cluster kopieren oder eine neue Konfiguration erstellen. Klicken Sie auf Identitätsanbieter hinzufügen, um eine neue Konfiguration zu erstellen. Der Abschnitt Neuer Identitätsanbieter wird angezeigt.

  2. Legen Sie im Abschnitt Neuer Identitätsanbieter die Anbieterdetails fest:

    OIDC

    1. Wählen Sie Neues OpenID Connect aus, um eine neue OIDC-Konfiguration zu erstellen.
    2. Geben Sie im Feld Anbietername den Namen an, den Sie verwenden möchten, um diese Konfiguration zu identifizieren. Dies ist in der Regel der Name des Identitätsanbieters. Der Name muss mit einem Buchstaben beginnen, gefolgt von bis zu 39 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Sie können diesen Namen nicht mehr bearbeiten, nachdem Sie eine Konfiguration erstellt haben.
    3. Geben Sie im Feld Client-ID die Client-ID des Identitätsanbieters an.
    4. Geben Sie im Feld Clientschlüssel den Clientschlüssel an, der von der Clientanwendung und dem Identitätsanbieter gemeinsam verwendet werden muss.
    5. Geben Sie im Feld Aussteller-URL den URI an, über den Autorisierungsanfragen an Ihren Identitätsanbieter gesendet werden.
    6. Klicken Sie auf Weiter, um die OIDC-Attribute festzulegen.

    Azure AD

    1. Wählen Sie Neues Azure Active Directory aus, um eine neue Azure AD-Konfiguration zu erstellen.
    2. Geben Sie im Feld Anbietername den Namen an, den Sie verwenden möchten, um diese Konfiguration zu identifizieren. Dies ist in der Regel der Name des Identitätsanbieters. Der Name muss mit einem Buchstaben beginnen, gefolgt von bis zu 39 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Sie können diesen Namen nicht mehr bearbeiten, nachdem Sie eine Konfiguration erstellt haben.
    3. Geben Sie im Feld Client-ID die Client-ID des Identitätsanbieters an.
    4. Geben Sie im Feld Clientschlüssel den Clientschlüssel an, der von der Clientanwendung und dem Identitätsanbieter gemeinsam verwendet werden muss.
    5. Geben Sie den Mandanten an, der das zu authentifizierende Azure AD-Konto ist, in Tenant.
    6. Klicken Sie auf Weiter, um die Azure AD-Attribute festzulegen.

    LDAP

    1. Wählen Sie LDAP aus, um eine neue LDAP-Konfiguration zu erstellen.
    2. Geben Sie im Feld Anbietername den Namen an, den Sie verwenden möchten, um diese Konfiguration zu identifizieren. Dies ist in der Regel der Name des Identitätsanbieters. Der Name muss mit einem Buchstaben beginnen, gefolgt von bis zu 39 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Sie können diesen Namen nicht mehr bearbeiten, nachdem Sie eine Konfiguration erstellt haben.
    3. Klicken Sie auf Weiter.
    4. Geben Sie den Hostnamen (erforderlich), den LDAP-Verbindungstyp und das base64-codierte CA-Zertifikat des LDAP-Servers an.
    5. Klicken Sie auf Weiter, um den Server zu konfigurieren.
    6. Geben Sie den Distinguished Name, den Filter, das Anmeldeattribut und das Kennzeichnungsattribut des Nutzers an.
    7. Klicken Sie auf Weiter, um die Nutzerdetails festzulegen.
    8. Wenn Sie Gruppen verwenden möchten, geben Sie den Distinguished Name, den Filter und das Attribut für die Kennung der Gruppe an.
    9. Klicken Sie auf Weiter, um die Gruppendetails festzulegen.
    10. Geben Sie den Nutzernamen und das Passwort des Dienstkontos an.
    11. Klicken Sie auf Fertig, um den Namen des Dienstkontos festzulegen.

  3. Klicken Sie auf Weiter. Der Bereich Attribute festlegen wird geöffnet.

  4. Legen Sie die Attribute für Ihren Identitätsanbieter fest. Wählen Sie eine der folgenden Optionen aus, um Attribute für OIDC oder Azure AD aufzurufen:

    OIDC

    • kubectl-Weiterleitungs-URI: Die von der gcloud CLI verwendete Weiterleitungs-URL und der Weiterleitungsport, die von Ihrem Plattformadministrator bei der Registrierung angegeben wurden, normalerweise in der Form http://localhost:PORT/callback.
    • Zertifizierungsstelle (optional): Ein von Ihrem Plattformadministrator bereitgestellter PEM-codierter Zertifikatstring für den Identitätsanbieter.
    • Gruppenanforderung (optional): Die JWT-Anforderung (Feldname), die Ihr Anbieter zum Zurückgeben der Sicherheitsgruppen eines Kontos verwendet.
    • Gruppenpräfix (Optional): Das Präfix, das Sie Namen von Sicherheitsgruppen voranstellen möchten, um Konflikte mit vorhandenen Namen in Ihren Zugriffssteuerungsregeln zu vermeiden, wenn Sie Konfigurationen für mehrere Identitätsanbieter haben (normalerweise der Anbietername).
    • Proxy (optional): Proxyserver-Adresse, die zum Herstellen einer Verbindung mit dem Identitätsanbieter verwendet werden soll (falls zutreffend). Diese Angabe ist möglicherweise erforderlich, wenn sich der Cluster beispielsweise in einem privaten Netzwerk befindet und eine Verbindung zu einem öffentlichen Identitätsanbieter hergestellt werden muss. Beispiel: http://user:password@10.10.10.10:8888
    • Bereiche (optional): Alle weiteren für Ihren Identitätsanbieter erforderlichen Bereiche. Microsoft Azure und Okta benötigen den Bereich offline_access. Klicken Sie gegebenenfalls auf Bereich hinzufügen, um weitere Bereiche hinzuzufügen.
    • Nutzeranforderung (optional): Die JWT-Anforderung (Feldname), die Ihr Anbieter zum Identifizieren eines Kontos verwendet. Wenn Sie hier keinen Wert angeben, verwendet der Cluster „sub“. Dies ist die Nutzer-ID-Anforderung, die von vielen Anbietern verwendet wird. Je nach OpenID-Anbieter können Sie andere Anforderungen auswählen, beispielsweise „E-Mail“ oder „Name“. Andere Anforderungen als die E-Mail-Adresse haben die Aussteller-URL als Präfix, um Namenskonflikte zu vermeiden.
    • Nutzerpräfix (optional): Das Präfix, das Sie Nutzeranforderungen voranstellen möchten, um Konflikte mit vorhandenen Namen zu vermeiden, wenn Sie nicht das Standardpräfix verwenden möchten.
    • Zusätzliche Parameter (optional): Alle zusätzlichen Parameter, die für die Konfiguration erforderlich sind. Sie werden als Parameter Key und Value angegeben. Klicken Sie auf Parameter hinzufügen, um bei Bedarf weitere Parameter hinzuzufügen.
    • Zugriffstoken aktivieren (optional): Wenn diese Option aktiviert ist, wird die Gruppenunterstützung für OIDC-Anbieter wie Okta ermöglicht.
    • Google Cloud Console-Proxy bereitstellen (optional): Wenn diese Option aktiviert ist, wird ein Proxy bereitgestellt, mit dem die Google Cloud Console eine Verbindung zu einem lokalen Identitätsanbieter herstellen kann, der nicht über das Internet öffentlich zugänglich ist.

    Azure AD

    • kubectl-Weiterleitungs-URI: Die von der gcloud CLI verwendete Weiterleitungs-URL und der Weiterleitungsport, die von Ihrem Plattformadministrator bei der Registrierung angegeben wurden, normalerweise in der Form http://localhost:PORT/callback.
    • Nutzeranforderung (optional): Die JWT-Anforderung (Feldname), die Ihr Anbieter zum Identifizieren eines Kontos verwendet. Wenn Sie hier keinen Wert angeben, verwendet der Cluster einen Wert in der Reihenfolge „email“, „preferred_username“ oder „sub“, um die Nutzerdetails abzurufen.
    • Proxy (optional): Proxyserver-Adresse, die zum Herstellen einer Verbindung mit dem Identitätsanbieter verwendet werden soll (falls zutreffend). Diese Angabe ist möglicherweise erforderlich, wenn sich der Cluster beispielsweise in einem privaten Netzwerk befindet und eine Verbindung zu einem öffentlichen Identitätsanbieter hergestellt werden muss. Beispiel: http://user:password@10.10.10.10:8888

  5. Klicken Sie auf Fertig.

  6. Optional: Wenn Sie der Konfiguration weitere Anbieter hinzufügen möchten, klicken Sie auf Identitätsanbieter hinzufügen und wiederholen Sie die vorherigen Schritte.

  7. Klicken Sie auf Konfiguration aktualisieren.

Dadurch werden bei Bedarf alle erforderlichen Komponenten installiert und die Clientkonfiguration wird auf die ausgewählten Cluster angewendet.

gcloud

Wenn Sie die gcloud CLI zum Konfigurieren der Flotte verwenden möchten, erstellen Sie eine benutzerdefinierte Kubernetes-Ressource namens ClientConfig mit Feldern für alle Informationen, die der Cluster für die Interaktion mit dem Identitätsanbieter benötigt. So erstellen und verwenden Sie eine ClientConfig:

  1. Erstellen Sie eine ClientConfig-Spezifikation in einer Datei mit dem Namen auth-config.yaml. Wenn Sie Beispielkonfigurationen für OIDC, SAML oder LDAP aufrufen möchten, wählen Sie eine der folgenden Optionen aus. Informationen zu anderen Identitätsanbieterkonfigurationen finden Sie unter Anbieterspezifische Konfigurationen.

    OIDC

    Das folgende Beispiel für ClientConfig zeigt sowohl eine oidc-Konfiguration als auch eine azuread-Konfiguration. Weitere Informationen dazu, wann oidc oder azuread verwendet werden sollte, finden Sie unter Anbieterspezifische Konfigurationen.

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: NAME
    proxy: PROXY_URL
    oidc:
      certificateAuthorityData: CERTIFICATE_STRING
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      deployCloudConsoleProxy: PROXY_BOOLEAN
      extraParams: EXTRA_PARAMS
      groupsClaim: GROUPS_CLAIM
      groupPrefix: GROUP_PREFIX
      issuerURI: ISSUER_URI
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: SCOPES
      userClaim: USER_CLAIM
      userPrefix: USER_PREFIX
  - name: azure
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_UUID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM

    Weitere Informationen zu den Feldern im oidc-Objekt finden Sie unter OIDC-Felder für ClientConfig.

    SAML

    Das folgende Beispiel für ClientConfig zeigt eine saml-Konfiguration:

        apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
    metadata:
      name: default
      namespace: kube-public
    spec:
      authentication:
      - name: NAME
        saml:
          idpEntityID: ENTITY_ID
          idpSingleSignOnURI: SIGN_ON_URI
          idpCertificateDataList: IDP_CA_CERT
          userAttribute: USER_ATTRIBUTE
          groupsAttribute: GROUPS_ATTRIBUTE
          userPrefix: USER_PREFIX
          groupPrefix: GROUP_PREFIX
          attributeMapping:
            ATTRIBUTE_KEY_1 : ATTRIBUTE_CEL_EXPRESSION_1
            ATTRIBUTE_KEY_2 : ATTRIBUTE_CEL_EXPRESSION_2
        certificateAuthorityData: CERTIFICATE_STRING
        preferredAuthentication: PREFERRED_AUTHENTICATION
        server: <>

    Weitere Informationen zu diesen Feldern finden Sie unter ClientConfig-SAML-Felder.

    LDAP

    Das folgende Beispiel für ClientConfig zeigt eine ldap-Konfiguration:

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: ldap
    ldap:
      server:
        host: HOST_NAME
        connectionType: CONNECTION_TYPE
        certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
      user:
        baseDn: BASE_DN
        loginAttribute: LOGIN_ATTRIBUTE
        filter: FILTER
        identifierAttribute: IDENTIFIER_ATTRIBUTE
      group:
        baseDn: BASE_DN
        filter: FILTER
        identifierAttribute: IDENTIFIER_ATTRIBUTE
      serviceAccount:
        simpleBindCredentials:
          dn: DISTINGUISHED_NAME
          password: PASSWORD

    Weitere Informationen zu diesen Feldern finden Sie unter LDAP-Felder für ClientConfig.

    Sie können derselben ClientConfig mehrere Identitätsanbieterkonfigurationen hinzufügen. Der Cluster versucht, sich mit jeder Konfiguration in der Reihenfolge zu authentifizieren, in der sie definiert sind. Der Vorgang wird nach der ersten erfolgreichen Authentifizierung beendet.

  2. ClientConfig auf einen Cluster anwenden:

    gcloud container fleet identity-service apply \
    --membership=CLUSTER_NAME \
    --config=auth-config.yaml

    Ersetzen Sie CLUSTER_NAME durch den eindeutigen Namen Ihres Clusters innerhalb der Flotte.

Im Cluster werden alle erforderlichen Komponenten installiert und die von Ihnen erstellte ClientConfig verwendet. Der Controller auf Flottenebene verwaltet die Konfiguration für den Cluster. Alle lokalen Änderungen an der Clusterkonfiguration werden vom Controller mit der Konfiguration auf Flottenebene abgeglichen.

Bei einigen Clusterversionen fügt das Anwenden der Konfiguration auf Flottenebene standardmäßig eine zusätzliche authentication-Konfiguration auf Ihre Cluster. So kann der Cluster Google-Gruppeninformationen für Nutzerkonten abrufen, die sich mit ihrer Google-ID anmelden. Diese Konfiguration gilt für Cluster in Google Distributed Cloud (sowohl VMware als auch Bare Metal). Weitere Informationen zur Google Groups-Funktion finden Sie unter Connect-Gateway mit Google Groups einrichten.

Wenn Sie die Konfiguration nicht mehr mit dem Controller auf Flottenebene verwalten möchten, z. B. weil Sie andere Authentifizierungsoptionen verwenden möchten, können Sie dieses Feature deaktivieren. Folgen Sie dazu der Anleitung unter Identitätsverwaltung auf Flottenebene deaktivieren.

Anbieterspezifische Konfigurationen

Dieser Abschnitt enthält Konfigurationsanleitungen für OIDC-Anbieter wie Azure AD und Okta, einschließlich einer Beispielkonfiguration, die Sie kopieren und mit Ihren eigenen Details bearbeiten können.

Azure AD

Dies ist die Standardkonfiguration für die Einrichtung der Authentifizierung mit Azure AD. Mit dieser Konfiguration kann der Cluster Nutzer- und Gruppeninformationen von Azure AD abrufen und die rollenbasierte Zugriffssteuerung (RBAC) von Kubernetes basierend auf Gruppen einrichten. Bei dieser Konfiguration können jedoch nur etwa 200 Gruppen pro Nutzer abgerufen werden.

Wenn Sie mehr als 200 Gruppen pro Nutzer abrufen müssen, lesen Sie die Anleitung für Azure AD (Erweitert).

...
spec:
  authentication:
  - name: oidc-azuread
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      extraParams: prompt=consent, access_type=offline
      issuerURI: https://login.microsoftonline.com/TENANT_ID/v2.0
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: openid,email,offline_access
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Azure AD (Erweitert)

Mit dieser optionalen Konfiguration für Azure AD kann der Cluster Nutzer- und Gruppeninformationen mit unbegrenzter Anzahl von Gruppen pro Nutzer über die Microsoft Graph API abrufen. Informationen zu Plattformen, die diese Konfiguration unterstützen, finden Sie unter Informationen zur Einrichtung von Identitätsanbietern.

Wenn Sie weniger als 200 Gruppen pro Nutzer abrufen müssen, empfehlen wir die Verwendung der Standardkonfiguration mit einem oidc-Anchor in Ihrer ClientConfig. Weitere Informationen finden Sie in der Anleitung für Azure AD.

Alle Felder in der Beispielkonfiguration sind erforderlich.

...
spec:
  authentication:
  - name: azure
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_UUID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Ersetzen Sie GROUP_FORMAT durch das Format, in dem Sie Gruppeninformationen abrufen möchten. Dieses Feld kann Werte haben, die der ID oder dem NAME der Nutzergruppen entsprechen. Diese Einstellung ist nur für Cluster in Google Distributed Cloud-Bereitstellungen (lokal) verfügbar.

Okta

Im Folgenden wird gezeigt, wie Sie die Authentifizierung mithilfe von Nutzern und Gruppen mit Okta als Identitätsanbieter einrichten. Mit dieser Konfiguration kann der Cluster Nutzer- und Gruppenanforderungen mithilfe eines Zugriffstokens und des userinfo-Endpunkts von Okta abrufen.

...
spec:
  authentication:
  - name: okta
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      enableAccessToken: true
      extraParams: prompt=consent
      groupsClaim: groups
      issuerURI: https://OKTA_ISSUER_URI/
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: offline_access,email,profile,groups
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Standardeinstellungen auf Flottenebene konfigurieren

Sie können eine Standardkonfiguration für die Authentifizierung auf Flottenebene angeben. Bei dieser Einrichtung wird für jeden neuen Cluster, den Sie bei der Flotte registrieren, automatisch die von Ihnen angegebene Authentifizierungskonfiguration verwendet.

Vorhandene Flottenmitglieder-Cluster werden nicht automatisch aktualisiert, wenn Sie eine Standardkonfiguration auf Flottenebene angeben. Optional können Sie Ihre Standardkonfiguration auf diese Cluster anwenden. Weitere Informationen zum Verwalten der Konfiguration auf Flottenebene finden Sie unter Features auf Flottenebene verwalten.

Nachdem Sie einen Standardwert auf Flottenebene festgelegt haben, werden alle lokalen Änderungen an der Authentifizierungskonfiguration einzelner Cluster überschrieben, wenn der Flottencontroller den Cluster mit der Standardkonfiguration abgleicht.

So konfigurieren Sie eine Standardkonfiguration auf Flottenebene:

  1. Erstellen Sie eine ClientConfig in einer Datei mit dem Namen fleet-default.yaml. Weitere Informationen zum Erstellen der Datei finden Sie im Abschnitt Cluster konfigurieren unter „gcloud CLI-Schritte“.

  2. Führen Sie einen der folgenden Befehle aus, um die Standardkonfiguration auf Flottenebene anzuwenden:

    • Wenn das Feature für den Identitätsdienst auf Flottenebene nicht aktiviert ist, aktivieren Sie es und geben Sie die Standardkonfiguration auf Flottenebene an:

      gcloud container fleet identity-service enable --fleet-default-member-config=fleet-default.yaml

    • Wenn die Funktion für den Identitätsdienst auf Flottenebene aktiviert ist, wenden Sie die neue Standardkonfiguration auf Flottenebene an:

      gcloud container fleet identity-service apply --fleet-default-member-config=default-config.yaml

    Neue Cluster, die Sie bei der Flotte registrieren, verwenden diese Konfiguration standardmäßig. Vorhandene Flottenmitglieder-Cluster übernehmen die neue Standardkonfiguration nicht automatisch.

  3. Führen Sie den folgenden Befehl aus, um die Standardkonfiguration auf einen vorhandenen Flottenmitgliedscluster anzuwenden:

    gcloud container fleet identity-service apply --origin=fleet --membership=CLUSTER_NAME

Standardkonfiguration auf Flottenebene entfernen

Führen Sie den folgenden Befehl aus, um die Standardkonfiguration zu entfernen:

gcloud container fleet identity-service delete --fleet-default-member-config

Neue Cluster, die Sie bei der Flotte registrieren, verwenden nicht automatisch eine Authentifizierungskonfiguration.

Konfiguration des Identitätsdienstes überprüfen

Nachdem Sie die Einrichtung auf Flottenebene abgeschlossen haben, können Sie prüfen, ob die Cluster in Ihrer Flotte erfolgreich mit der von Ihnen angegebenen Identitätsdienstkonfiguration konfiguriert wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Feature Manager auf.

    Zu Feature Manager

    Alle aktivierten Funktionen werden in ihrem Bereich als Aktiviert aufgeführt.

  2. Klicken Sie im Bereich Identity Service auf DETAILS. In einem Detailbereich wird der Status Ihrer registrierten Cluster angezeigt.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud container fleet identity-service describe

Nächste Schritte

Nachdem Sie die Cluster konfiguriert haben, fahren Sie mit dem Einrichten des Nutzerzugriffs fort.