配置所选的身份提供方

本文档适用于负责设置和管理组织内身份的平台管理员。如果您是集群管理员或应用运维人员,请先让平台管理员完成此处所述的设置,然后再配置各个集群或使用舰队设置。

准备工作

如果您希望集群管理员使用集群的 Kubernetes API 服务器的完全限定域名 (FQDN)(推荐)提供身份验证访问权限,请执行以下操作。否则,您可以跳过此步骤,直接前往配置身份提供方。如需详细了解用户身份验证方法,请参阅为用户访问权限设置身份验证方法

  • 配置您的域名服务 (DNS),以将所选的完全限定域名解析为集群的控制平面 VIP(虚拟 IP 地址)。用户可以使用此域名访问集群。
  • 使用由您信任的企业证书授权机构 (CA) 颁发的服务器名称指示 (SNI) 证书。此证书专门将您的 FQDN 列为有效网域,从而避免用户收到潜在的证书警告。您可以在创建集群期间提供 SNI 证书。如需详细了解如何指定 SNI 证书,请参阅 SNI 证书身份验证
  • 如果 SNI 证书不可行,集群管理员需要将所有用户设备配置为信任集群 CA 证书。这样可以避免证书警告,但需要将集群 CA 证书分发给所有用户。

如需详细了解如何使用这些证书进行用户登录访问,请参阅使用 FQDN 访问权限进行身份验证

配置身份提供方

GKE Identity Service 的配置取决于您选择使用的身份提供方。首先,请选择要配置的相应提供方: