הגדרת ניהול אימות ברמת הצי

במסמך הזה מוסבר לאדמינים של אשכולות איך להגדיר כמה אשכולות לאימות מספקי זהויות של צד שלישי באמצעות Fleet. Google Cloud מנהל את ההגדרה של אשכולות ב-Fleet, וכך תהליך ההגדרה מהיר ופשוט יותר מאשר הגדרה של אשכולות בודדים. מידע נוסף על תהליך האימות של ספק צד שלישי זמין במאמר מידע על אימות באמצעות זהויות של צד שלישי.

לפני שמתחילים

  1. מתקינים ומגדירים את Google Cloud CLI:

    1. Install the Google Cloud CLI.

    2. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    3. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

      gcloud init

    4. אחרי שתאתחלו את ה-CLI של gcloud, עדכנו אותו והתקינו את הרכיבים הנדרשים: 

      gcloud components update
gcloud components install kubectl
    5. ב-CLI של gcloud, בוחרים את פרויקט המארח של צי המכונות: 
      gcloud config set project FLEET_HOST_PROJECT_ID
       מחליפים את FLEET_HOST_PROJECT_ID במזהה הפרויקט המארח של צי המכונות.

  2. מפעילים את ממשקי ה-API הנדרשים:

    1. נכנסים לדף לבחירת הפרויקט במסוף Google Cloud :

      כניסה לדף לבחירת הפרויקט

    2. בוחרים את פרויקט המארח של צי הרכבים.

    3. Enable the GKE Hub and Kubernetes Engine APIs.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the APIs

  3. מוודאים שאדמין הפלטפורמה נתן לכם את כל פרטי הספק שדרושים לפרוטוקול שבחרתם. מידע נוסף זמין במאמרים הבאים:

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות להגדרת אשכולות ברמת הצי, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד מנהל צי רכב (roles/gkehub.admin) בפרויקט המארח של הצי. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הפעלת התכונה של שירות זהויות ברמת הצי

התכונה 'שירות זהויות ברמת הצי' משתמשת בבקר כדי לנהל את ההגדרה בכל אחד מהאשכולות בצי. צריך להפעיל את התכונה ברמת הצי רק בפרויקט המארח של הצי.

כדי להפעיל את התכונה ברמת הצי, בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. נכנסים לדף GKE Identity Service במסוף Google Cloud .

    כניסה אל GKE Identity Service

  2. לוחצים על הפעלת שירות הזהויות.

gcloud

מפעילים את התכונה של שירות הזהויות ברמת הצי:

gcloud container fleet identity-service enable

הגדרת אשכולות

כדי להגדיר את האשכולות, צריך לציין את הפרטים הבאים:

  • מידע על ספק הזהויות, כמו מזהה לקוח וסוד.
  • מידע על אסימוני האינטרנט מסוג JSON‏ (JWT) שספק הזהויות משתמש בהם לאימות.
  • היקפים או פרמטרים נוספים שייחודיים לספק הזהויות.

למידע נוסף על הפרטים שאתם צריכים לקבל ממנהל הפלטפורמה או ממי שמנהל את הזהויות בארגון, אפשר לעיין במסמכים הבאים:

אם יש לכם הגדרות קיימות ברמת האשכול לספקי OIDC, החלת הגדרה ברמת צי המטוסים על האשכול תגרום להחלפה של כל מפרטי האימות הקיימים. בנוסף, אם יש לכם הגדרות קיימות ברמת האשכול לספקים שלא נתמכים בהגדרה ברמת הצי, ההגדרה הזו תיכשל. כדי להחיל את ההגדרה ברמת הצי, צריך להסיר את ההגדרה הקיימת של הספק.

כדי להגדיר את האשכולות, מבצעים את השלבים הבאים:

המסוף

  1. בוחרים את האשכולות שרוצים להגדיר:

    1. נכנסים לדף GKE Identity Service במסוף Google Cloud .

      מעבר אל Feature Manager

    2. מסמנים את תיבות הסימון לצד האשכולות שרוצים להגדיר. אתם יכולים לבחור אשכולות ספציפיים, או לציין שאתם רוצים להגדיר את כל האשכולות עם אותה הגדרת זהות. אם הגדרתם ברירות מחדל ברמת הצי, ההגדרה תתעדכן בהתאם לברירת המחדל.

    3. לוחצים על עדכון ההגדרה. החלונית Edit Identity Service Clusters Config נפתחת.

    4. בקטע ספקי זהויות, בוחרים איך רוצים להגדיר את האשכולות. אפשר לעדכן תצורה קיימת, להעתיק תצורה מאשכול אחר או ליצור תצורה חדשה. כדי ליצור הגדרה חדשה, לוחצים על הוספת ספק זהויות. מופיע הקטע ספק זהויות חדש.

  2. בקטע ספק זהויות חדש, מגדירים את פרטי הספק:

    OIDC

    1. בוחרים באפשרות New Open ID Connect (חדש OpenID Connect) כדי ליצור הגדרת OIDC חדשה.
    2. מציינים את השם שרוצים להשתמש בו כדי לזהות את ההגדרה הזו בשדה שם הספק, בדרך כלל שם ספק הזהויות. השם הזה חייב להתחיל באות, ואחריה יכולות להיות עד 39 אותיות קטנות באנגלית, מספרים או מקפים. השם לא יכול להסתיים במקף. לא ניתן לערוך את השם הזה אחרי שיוצרים הגדרה.
    3. מציינים את מזהה הלקוח מספק הזהויות בשדה מזהה לקוח.
    4. בשדה סוד הלקוח, מציינים את סוד הלקוח שצריך להיות משותף בין אפליקציית הלקוח לבין ספק הזהויות.
    5. בשדה כתובת URL של מנפיק מציינים את ה-URI שבו מוגשות בקשות הרשאה לספק הזהויות.
    6. לוחצים על הבא כדי להגדיר את מאפייני ה-OIDC.

    Azure AD

    1. כדי ליצור הגדרה חדשה של Azure AD, בוחרים באפשרות New Azure Active Directory (חדש Azure Active Directory).
    2. מציינים את השם שרוצים להשתמש בו כדי לזהות את ההגדרה הזו בשדה שם הספק, בדרך כלל שם ספק הזהויות. השם הזה חייב להתחיל באות, ואחריה יכולות להיות עד 39 אותיות קטנות באנגלית, מספרים או מקפים. השם לא יכול להסתיים במקף. לא ניתן לערוך את השם הזה אחרי שיוצרים הגדרה.
    3. מציינים את מזהה הלקוח מספק הזהויות בשדה מזהה לקוח.
    4. בשדה סוד הלקוח, מציינים את סוד הלקוח שצריך להיות משותף בין אפליקציית הלקוח לבין ספק הזהויות.
    5. מציינים את הדייר שהוא חשבון Azure AD שצריך לאמת בדייר.
    6. לוחצים על הבא כדי להגדיר את המאפיינים של Azure AD.

    LDAP

    1. בוחרים באפשרות LDAP כדי ליצור הגדרת LDAP חדשה.
    2. מציינים את השם שרוצים להשתמש בו כדי לזהות את ההגדרה הזו בשדה שם הספק, בדרך כלל שם ספק הזהויות. השם הזה חייב להתחיל באות, ואחריה יכולות להיות עד 39 אותיות קטנות באנגלית, מספרים או מקפים. השם לא יכול להסתיים במקף. לא ניתן לערוך את השם הזה אחרי שיוצרים הגדרה.
    3. לוחצים על הבא.
    4. מציינים את שם המארח (חובה), את סוג החיבור ל-LDAP ואת אישור ה-CA של שרת ה-LDAP בקידוד Base64.
    5. לוחצים על הבא כדי להגדיר את השרת.
    6. מציינים את השם הייחודי של המשתמש, את המסנן, את מאפיין ההתחברות ואת מאפיין המזהה.
    7. לוחצים על הבא כדי להגדיר את פרטי המשתמש.
    8. אם בוחרים להשתמש בקבוצות, צריך לציין את השם הייחודי של הקבוצה, את המסנן ואת מאפיין המזהה.
    9. לוחצים על הבא כדי להגדיר את פרטי הקבוצה.
    10. מציינים את שם המשתמש והסיסמה של חשבון השירות.
    11. לוחצים על Done כדי להגדיר את השם של חשבון השירות.

  3. לוחצים על הבא. הקטע הגדרת מאפיינים נפתח.

  4. מגדירים את המאפיינים של ספק הזהויות. כדי להציג מאפיינים של OIDC או Azure AD, בוחרים באחת מהאפשרויות הבאות:

    OIDC

    • kubectl redirect URI: כתובת ה-URL להפניה אוטומטית והיציאה שמשמשות את ה-CLI של gcloud, ומוגדרות על ידי האדמין של הפלטפורמה בזמן ההרשמה, בדרך כלל בפורמט http://localhost:PORT/callback.
    • רשות אישורים (אופציונלי): אם מנהל הפלטפורמה שלכם מספק מחרוזת אישורים בקידוד PEM לספק הזהויות.
    • Group Claim (אופציונלי): טענת ה-JWT (שם השדה) שספק הזהויות משתמש בה כדי להחזיר את קבוצות האבטחה של החשבון.
    • קידומת לקבוצה (אופציונלי): הקידומת שרוצים להוסיף לשמות של קבוצות אבטחה כדי למנוע התנגשויות עם שמות קיימים בכללי בקרת הגישה, אם יש לכם הגדרות לכמה ספקי זהויות (בדרך כלל שם הספק).
    • Proxy (אופציונלי): כתובת שרת ה-proxy לשימוש בחיבור לספק הזהויות, אם רלוונטי. יכול להיות שתצטרכו להגדיר את זה אם, לדוגמה, האשכול שלכם נמצא ברשת פרטית וצריך להתחבר לספק זהויות ציבורי. לדוגמה: http://user:password@10.10.10.10:8888.
    • היקפי הרשאה (אופציונלי): היקפי הרשאה נוספים שספק הזהויות שלכם דורש. ב-Microsoft Azure וב-Okta נדרשת ההרשאה offline_access. לוחצים על הוספת היקף כדי להוסיף עוד היקפים אם צריך.
    • הצהרת משתמש (אופציונלי): הצהרת ה-JWT (שם השדה) שספק הזהויות משתמש בה כדי לזהות חשבון. אם לא מציינים כאן ערך, האשכול משתמש ב-sub, שהוא טענת מזהה המשתמש שמשמשת ספקים רבים. אפשר לבחור הצהרות אחרות, כמו 'כתובת אימייל' או 'שם', בהתאם לספק OpenID. לכל תביעה שאינה 'אימייל' מתווספת קידומת של כתובת ה-URL של המנפיק כדי למנוע התנגשויות בשמות.
    • User Prefix (תוספת לשם המשתמש) (אופציונלי): התוספת שרוצים להוסיף לשמות המשתמשים כדי למנוע התנגשויות עם שמות קיימים, אם לא רוצים להשתמש בתוספת שמוגדרת כברירת מחדל.
    • פרמטרים נוספים (אופציונלי): פרמטרים נוספים שנדרשים להגדרה, שצוינו כמפתח וערך. לוחצים על הוספת פרמטר כדי להוסיף עוד פרמטרים, אם צריך.
    • הפעלת אסימון גישה (אופציונלי): אם האפשרות הזו מופעלת, היא מאפשרת תמיכה בקבוצות עבור ספקי OIDC כמו Okta.
    • פריסת Google Cloud שרת Proxy של מסוף (אופציונלי): אם האפשרות הזו מופעלת, נפרס שרת Proxy שמאפשר למסוף Google Cloud להתחבר לספק זהויות מקומי שלא נגיש לציבור דרך האינטרנט.

    Azure AD

    • kubectl redirect URI: כתובת ה-URL להפניה אוטומטית והיציאה שמשמשות את ה-CLI של gcloud, ומוגדרות על ידי האדמין של הפלטפורמה בזמן ההרשמה, בדרך כלל בפורמט http://localhost:PORT/callback.
    • הצהרת משתמש (אופציונלי): הצהרת ה-JWT (שם השדה) שספק הזהויות משתמש בה כדי לזהות חשבון. אם לא מציינים כאן ערך, האשכול משתמש בערך בסדר 'email',‏ 'preferred_username' או 'sub' כדי לאחזר את פרטי המשתמש.
    • Proxy (אופציונלי): כתובת שרת ה-proxy לשימוש בחיבור לספק הזהויות, אם רלוונטי. יכול להיות שתצטרכו להגדיר את זה אם, לדוגמה, האשכול שלכם נמצא ברשת פרטית וצריך להתחבר לספק זהויות ציבורי. לדוגמה: http://user:password@10.10.10.10:8888.

  5. לוחצים על סיום.

  6. אופציונלי: כדי להוסיף עוד ספקים להגדרה, לוחצים על הוספת ספק זהויות וחוזרים על השלבים הקודמים.

  7. לוחצים על עדכון ההגדרה.

הפעולה הזו מתקינה את כל הרכיבים הנדרשים, אם יש כאלה, ומחילת את הגדרות הלקוח על האשכולות שנבחרו.

gcloud

כדי להשתמש ב-CLI של gcloud כדי להגדיר את ה-fleet, יוצרים משאב בהתאמה אישית של Kubernetes בשם ClientConfig עם שדות לכל המידע שהאשכול צריך כדי ליצור אינטראקציה עם ספק הזהויות. כדי ליצור ClientConfig ולהשתמש בו, פועלים לפי השלבים הבאים:

  1. יוצרים מפרט ClientConfig בקובץ בשם auth-config.yaml. כדי לראות דוגמאות להגדרות של OIDC,‏ SAML או LDAP, בוחרים באחת מהאפשרויות הבאות. הגדרות של ספקי זהויות אחרים מפורטות במאמר הגדרות ספציפיות לספק.

    OIDC

    בדוגמה הבאה של ClientConfig מוצגות גם הגדרות של oidc וגם הגדרות של azuread. מידע נוסף על המקרים שבהם כדאי להשתמש ב-oidc או ב-azuread זמין במאמר הגדרות ספציפיות לספק.

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: NAME
    proxy: PROXY_URL
    oidc:
      certificateAuthorityData: CERTIFICATE_STRING
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      deployCloudConsoleProxy: PROXY_BOOLEAN
      extraParams: EXTRA_PARAMS
      groupsClaim: GROUPS_CLAIM
      groupPrefix: GROUP_PREFIX
      issuerURI: ISSUER_URI
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: SCOPES
      userClaim: USER_CLAIM
      userPrefix: USER_PREFIX
  - name: azure
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_UUID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM

    מידע נוסף על השדות באובייקט oidc זמין במאמר שדות OIDC של ClientConfig.

    SAML

    בדוגמה הבאה של ClientConfig מוצגת הגדרה של saml:

        apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
    metadata:
      name: default
      namespace: kube-public
    spec:
      authentication:
      - name: NAME
        saml:
          idpEntityID: ENTITY_ID
          idpSingleSignOnURI: SIGN_ON_URI
          idpCertificateDataList: IDP_CA_CERT
          userAttribute: USER_ATTRIBUTE
          groupsAttribute: GROUPS_ATTRIBUTE
          userPrefix: USER_PREFIX
          groupPrefix: GROUP_PREFIX
          attributeMapping:
            ATTRIBUTE_KEY_1 : ATTRIBUTE_CEL_EXPRESSION_1
            ATTRIBUTE_KEY_2 : ATTRIBUTE_CEL_EXPRESSION_2
        certificateAuthorityData: CERTIFICATE_STRING
        preferredAuthentication: PREFERRED_AUTHENTICATION
        server: <>

    מידע נוסף על השדות האלה זמין במאמר בנושא שדות SAML של ClientConfig.

    LDAP

    בדוגמה הבאה של ClientConfig מוצגת הגדרה של ldap:

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: ldap
    ldap:
      server:
        host: HOST_NAME
        connectionType: CONNECTION_TYPE
        certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
      user:
        baseDn: BASE_DN
        loginAttribute: LOGIN_ATTRIBUTE
        filter: FILTER
        identifierAttribute: IDENTIFIER_ATTRIBUTE
      group:
        baseDn: BASE_DN
        filter: FILTER
        identifierAttribute: IDENTIFIER_ATTRIBUTE
      serviceAccount:
        simpleBindCredentials:
          dn: DISTINGUISHED_NAME
          password: PASSWORD

    מידע נוסף על השדות האלה זמין במאמר בנושא שדות LDAP של ClientConfig.

    אפשר להוסיף כמה הגדרות של ספקי זהויות לאותו ClientConfig. האשכול מנסה לבצע אימות באמצעות כל הגדרה לפי הסדר שבו הן מוגדרות, ומפסיק אחרי האימות הראשון שמתבצע בהצלחה.

  2. החלת ClientConfig על אשכול:

    gcloud container fleet identity-service apply \
    --membership=CLUSTER_NAME \
    --config=auth-config.yaml

    מחליפים את CLUSTER_NAME בשם הייחודי של האשכול בצי.

האשכול מתקין את כל הרכיבים הנדרשים ומשתמש ב-ClientConfig שיצרתם. הבקרה ברמת הצי מנהלת את ההגדרה של האשכול. כל שינוי מקומי בהגדרת האשכול עובר תהליך של התאמה על ידי בקר ההגדרות ברמת הצי.

בגרסאות מסוימות של אשכולות, החלת ההגדרה ברמת הצי מוסיפה כברירת מחדל גם הגדרה נוספת של authentication לאשכולות. כך האשכול יכול לאחזר מידע על קבוצות Google עבור חשבונות משתמשים שנכנסים באמצעות מזהה Google. ההגדרה הזו רלוונטית לאשכולות ב-Google Distributed Cloud (גם VMware וגם bare metal). מידע נוסף על התכונה 'קבוצות Google' זמין במאמר בנושא הגדרת שער החיבור באמצעות קבוצות Google.

אם אתם לא רוצים יותר שהבקרה ברמת הצי תנהל את ההגדרה שלכם, למשל אם אתם רוצים להשתמש באפשרות אימות אחרת, אתם יכולים להשבית את התכונה הזו לפי ההוראות במאמר השבתת ניהול הזהויות ברמת הצי.

הגדרות ספציפיות לספק

בקטע הזה מופיעות הנחיות להגדרת ספקי OIDC (כמו Azure AD ו-Okta), כולל דוגמה להגדרה שאפשר להעתיק ולערוך עם הפרטים שלכם.

Azure AD

זוהי הגדרת ברירת המחדל להגדרת אימות באמצעות Azure AD. ההגדרה הזו מאפשרת לאשכול לקבל מידע על משתמשים וקבוצות מ-Azure AD, ומאפשרת להגדיר בקרת גישה מבוססת-תפקידים (RBAC) ב-Kubernetes על סמך קבוצות. עם זאת, השימוש בהגדרה הזו מגביל אתכם לאחזור של כ-200 קבוצות לכל משתמש.

אם אתם צריכים לאחזר יותר מ-200 קבוצות לכל משתמש, תוכלו להיעזר בהוראות ל-Azure AD (מתקדם).

...
spec:
  authentication:
  - name: oidc-azuread
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      extraParams: prompt=consent, access_type=offline
      issuerURI: https://login.microsoftonline.com/TENANT_ID/v2.0
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: openid,email,offline_access
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

Azure AD (מתקדם)

ההגדרה האופציונלית הזו ל-Azure AD מאפשרת לאשכול לאחזר מידע על משתמשים וקבוצות ללא הגבלה על מספר הקבוצות לכל משתמש, באמצעות Microsoft Graph API. מידע על פלטפורמות שתומכות בהגדרה הזו זמין במאמר פרטי הגדרת ספק הזהויות.

אם אתם צריכים לאחזר פחות מ-200 קבוצות לכל משתמש, מומלץ להשתמש בהגדרת ברירת המחדל באמצעות עוגן oidc ב-ClientConfig. מידע נוסף זמין בהוראות ל-Azure AD.

כל השדות בהגדרת הדוגמה הם שדות חובה.

...
spec:
  authentication:
  - name: azure
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_UUID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

מחליפים את GROUP_FORMAT בפורמט שבו רוצים לאחזר את פרטי הקבוצה. השדה הזה יכול לקבל ערכים שתואמים ל-ID או ל-NAME של קבוצות המשתמשים. ההגדרה הזו זמינה רק לאשכולות בפריסות של Google Distributed Cloud (on-premises).

Okta

בשלבים הבאים מוסבר איך להגדיר אימות באמצעות משתמשים וקבוצות עם Okta כספק הזהויות. ההגדרה הזו מאפשרת לאשכול לאחזר טענות לגבי משתמשים וקבוצות באמצעות טוקן גישה ונקודת הקצה userinfo של Okta.

...
spec:
  authentication:
  - name: okta
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      enableAccessToken: true
      extraParams: prompt=consent
      groupsClaim: groups
      issuerURI: https://OKTA_ISSUER_URI/
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: offline_access,email,profile,groups
      userClaim: email

# Rest of the resource is managed by Google. DO NOT MODIFY.
...

הגדרת ברירות מחדל ברמת הצי

אתם יכולים לציין הגדרת ברירת מחדל לאימות ברמת הצי. בשיטה הזו, כל אשכול חדש שנרשם לצי משתמש אוטומטית בהגדרות האימות שציינתם.

כשמציינים הגדרת ברירת מחדל ברמת ה-Fleet, לא מתבצע עדכון אוטומטי של קלאסטרים קיימים של חברי Fleet. אפשר גם להחיל את הגדרות ברירת המחדל על האוספים האלה. מידע נוסף על ניהול הגדרות ברמת הצי זמין במאמר ניהול תכונות ברמת הצי.

אחרי שמגדירים ברירת מחדל ברמת הצי, כל שינוי מקומי בהגדרות האימות של אשכולות ספציפיים נמחק כשבקר הצי מבצע התאמה בין האשכול לבין הגדרות ברירת המחדל.

כדי להגדיר הגדרת ברירת מחדל ברמת הצי:

  1. יוצרים ClientConfig בקובץ בשם fleet-default.yaml. מידע נוסף על יצירת הקובץ מופיע בשלבים של ה-CLI של gcloud בקטע הגדרת אשכולות.

  2. כדי להחיל את הגדרות ברירת המחדל ברמת הצי, מריצים אחת מהפקודות הבאות:

    • אם התכונה של שירות הזהויות ברמת הצי לא מופעלת, צריך להפעיל את התכונה ולציין את הגדרות ברירת המחדל ברמת הצי:

      gcloud container fleet identity-service enable --fleet-default-member-config=fleet-default.yaml

    • אם התכונה של שירות הזהויות ברמת הצי מופעלת, צריך להחיל את הגדרות ברירת המחדל החדשות ברמת הצי:

      gcloud container fleet identity-service apply --fleet-default-member-config=default-config.yaml

    אשכולות חדשים שאתם רושמים לצי משתמשים בתצורה הזו כברירת מחדל. קלאסטרים קיימים של חברי צי לא יקבלו אוטומטית את הגדרות ברירת המחדל החדשות.

  3. כדי להחיל את הגדרות ברירת המחדל על קלאסטר קיים של חבר בצי, מריצים את הפקודה הבאה:

    gcloud container fleet identity-service apply --origin=fleet --membership=CLUSTER_NAME

הסרת הגדרות ברירת המחדל ברמת הצי

כדי להסיר את הגדרת ברירת המחדל, מריצים את הפקודה הבאה:

gcloud container fleet identity-service delete --fleet-default-member-config

כשרושמים אשכולות חדשים לצי, הם לא משתמשים באופן אוטומטי בהגדרת אימות.

אימות ההגדרה של שירות הזהויות

אחרי שתשלימו את ההגדרה ברמת הצי, תוכלו לוודא שהאשכולות בצי הוגדרו בהצלחה עם הגדרת שירות הזהויות שציינתם.

המסוף

  1. נכנסים לדף Feature Manager במסוף Google Cloud .

    מעבר אל Feature Manager

    כל התכונות המופעלות מופיעות בחלונית שלהן עם הכיתוב מופעל.

  2. בחלונית Identity Service (שירות זהויות), לוחצים על DETAILS (פרטים). בחלונית הפרטים מוצג הסטטוס של האשכולות הרשומים.

gcloud

מריצים את הפקודה הבאה:

gcloud container fleet identity-service describe

המאמרים הבאים

אחרי שמגדירים את האשכולות, ממשיכים להגדרת גישת משתמשים.