Este documento está dirigido a los administradores de plataformas que son responsables de configurar y administrar la identidad dentro de tu organización. Si eres administrador de clústeres u operador de aplicaciones, pídele al administrador de la plataforma que complete la configuración que se describe aquí antes de configurar clústeres individuales o usar la configuración de la flota.
Antes de comenzar
Si deseas que los administradores del clúster proporcionen acceso de autenticación con el nombre de dominio completamente calificado (FQDN) del servidor de la API de Kubernetes del clúster (recomendado), haz lo siguiente. De lo contrario, puedes avanzar hasta cómo configurar tu proveedor de identidad. Puedes obtener más información sobre los métodos de autenticación de usuarios en Configura un método de autenticación para el acceso de los usuarios.
- Configura tu servicio de nombres de dominio (DNS) para que resuelva el nombre de dominio completamente calificado que elegiste en las VIP (direcciones IP virtuales) del plano de control del clúster. Los usuarios pueden acceder al clúster con este nombre de dominio.
- Usa un certificado de indicación de nombre del servidor (SNI) emitido por tu autoridad certificadora (AC) empresarial de confianza. Este certificado menciona específicamente tu FQDN como un dominio válido, lo que elimina las posibles advertencias de certificados para los usuarios. Puedes proporcionar el certificado de SNI durante la creación del clúster. Para obtener más información sobre cómo especificar certificados de SNI, consulta Autenticación de certificados de SNI.
- Si los certificados SNI no son factibles, los administradores del clúster deben configurar todos los dispositivos de los usuarios para que confíen en el certificado de la CA del clúster. Esto evita las advertencias de certificados, pero requiere la distribución del certificado de la CA del clúster a todos los usuarios.
Para obtener más información acerca del acceso del usuario a través de estos certificados, consulta Autentícate con el acceso de FQDN
Configura el proveedor de identidad
La configuración de GKE Identity Service depende del proveedor de identidad que elijas usar. Para comenzar, elige el proveedor adecuado que deseas configurar: