Fleet-Member-Cluster für die OIDC-Authentifizierung einrichten

In diesem Dokument wird beschrieben, wie Clusteradministratoren oder Anwendungsoperatoren Cluster so konfigurieren können, dass die Authentifizierung mit einem OIDC-Anbieter (OpenID Connect) eines Drittanbieters unterstützt wird.

Beschränkungen

Sie müssen einen Clustertyp verwenden, der OIDC unterstützt.

Hinweise

1. Install the Google Cloud CLI.

2. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

3. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

   gcloud init

4. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten:

   gcloud components update
   gcloud components install kubectl

5. Achten Sie darauf, dass Ihr Plattformadministrator Ihnen alle erforderlichen Anbieterinformationen zur Verfügung gestellt hat. Weitere Informationen finden Sie unter Details zum Identitätsanbieter freigeben.
6. Zur Authentifizierung über die Google Cloud Console müssen Sie jeden Cluster, den Sie konfigurieren möchten, bei Ihrer Projektflotte registrieren. Weitere Informationen finden Sie unter Flotten erstellen – Übersicht.
7. Wenn Sie über einen Bastion Host eine Verbindung zur Steuerungsebene eines AWS- oder Azure-Clusters herstellen müssen, die sich außerhalb Ihres aktuellen VPC-Netzwerk befindet, achten Sie darauf, dass Sie den Bastion Host erstellt und einen SSH-Tunnel an Port 8118 gestartet haben. Wenn Sie kubectl-Befehle in diesem Dokument ausführen, stellen Sie den Befehlen HTTPS_PROXY=http://localhost:PORT voran, wobei PORT die Portnummer ist, die Sie beim Starten des SSH-Tunnels verwendet haben.
8. Für GKE-Cluster auf Google Cloudregistrieren Sie die Cluster in Ihrer Flotte.

Cluster konfigurieren

Wenn Sie die Authentifizierung für einen Cluster mit OIDC konfigurieren möchten, fügen Sie einer benutzerdefinierten Kubernetes-Ressource (Custom Resource) mit dem Namen „ClientConfig“ die folgenden Informationen hinzu:

• Informationen zu Ihrem Identitätsanbieter, z. B. eine Client-ID und ein Secret.
• Informationen zu den JSON-Web-Tokens (JWTs), die Ihr Identitätsanbieter für die Authentifizierung verwendet.
• Alle zusätzlichen Bereiche oder Parameter, die für Ihren Identitätsanbieter spezifisch sind.

Weitere Informationen zu den Informationen, die Sie von Ihrem Plattformadministrator oder der Person, die die Identitäten in Ihrer Organisation verwaltet, benötigen, finden Sie unter Details zum Identitätsanbieter weitergeben.

Der Cluster verwendet die Felder in der benutzerdefinierten ClientConfig-Ressource für die Interaktion mit Ihrem Identitätsanbieter. Jeder Cluster hat eine ClientConfig namens default im Namespace kube-public. Die Felder, die Sie ändern, hängen von Ihrem Identitätsanbieter ab.

Zum Bearbeiten der default-ClientConfig müssen Sie über kubectl eine Verbindung zu Ihrem Cluster herstellen und den folgenden Befehl ausführen:

kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public

Ersetzen Sie KUBECONFIG_PATH durch den Pfad zur kubeconfig-Datei Ihres Clusters, z. B. $HOME/.kube/config.

Die ClientConfig-Ressource des Clusters wird in einem Texteditor geladen. Fügen Sie das spec.authentication.oidc-Objekt wie im folgenden Beispiel hinzu. Ändern Sie keine bereits geschriebenen Standarddaten.

apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: NAME
    oidc:
      certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      deployCloudConsoleProxy: PROXY_BOOLEAN
      extraParams: EXTRA_PARAMS
      groupsClaim: GROUPS_CLAIM
      groupPrefix: GROUP_PREFIX
      issuerURI: ISSUER_URI
      kubectlRedirectURI: KUBECTL_REDIRECT_URI
      scopes: SCOPES
      userClaim: USER_CLAIM
      userPrefix: USER_PREFIX
      enableAccessToken: ENABLE_ACCESS_TOKEN
    proxy: PROXY_URL
# Rest of the resource is managed by Google. DO NOT MODIFY.

Betrachten Sie beispielsweise die folgenden Felder für Identitätstokens:

{
  'iss': 'https://server.example.com'
  'sub': 'u98523-4509823'
  'groupList': ['developers@example.corp', 'us-east1-cluster-admins@example.corp']
  # Multiple lines are omitted here
}

In diesem Beispiel ist iss der Identitätsanbieter-URI, sub identifiziert den Nutzer und groupList listet die Sicherheitsgruppen auf, denen der Nutzer angehört. In diesem Beispiel werden nur einige der Felder gezeigt, die das tatsächliche Token enthalten kann.

Für das Beispieltoken oben aktualisieren Sie die folgenden Felder im spec.authentication.oidc-Objekt von ClientConfig:

issuerURI: 'https://server.example.com'
userClaim: 'sub'
groupsClaim: 'groupList'
# Multiple lines are omitted here

Sie können derselben ClientConfig mehrere OIDC-, LDAP- und SAML-Identitätsanbieterkonfigurationen hinzufügen. Der Cluster versucht, sich mit jeder Konfiguration in der Reihenfolge zu authentifizieren, in der sie definiert sind. Der Vorgang wird nach der ersten erfolgreichen Authentifizierung beendet. Im folgenden Beispiel für ClientConfig werden mehrere Identitätsanbieter in einer bestimmten Reihenfolge definiert:

apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - aws:
      region: us-west-2
    name: AWS Login
  - ldap:
  # Multiple lines are omitted here.
  - saml:
  # Multiple lines are omitted here.
  - azureAD:
  # Multiple lines are omitted here.
  - oidc:
    name: Okta OIDC
  # Multiple lines are omitted here.
  - oidc:
    name: Google OIDC
  # Multiple lines are omitted here.

OIDC-Felder für ClientConfig

In der folgenden Tabelle sind die Felder des ClientConfig-oidc-Objekts beschrieben. Welche Felder Sie hinzufügen müssen, hängt von Ihren Identitätsanbieter-Tokens und der Konfiguration des Anbieters durch Ihren Plattformadministrator ab.

Nachdem Sie Ihre ClientConfig bearbeitet haben, speichern Sie die Datei, um die ClientConfig für Ihren Cluster zu aktualisieren. Bei Syntaxfehlern werden Sie aufgefordert, diese zu beheben und die Datei zu speichern.

Anbieterspezifische Konfigurationen

Dieser Abschnitt enthält Konfigurationsanleitungen für einige beliebte OIDC-Anbieter, einschließlich Beispielkonfigurationen, die Sie kopieren und mit Ihren eigenen Details bearbeiten können.

# Multiple lines are omitted here.
spec:
  authentication:
  - name: oidc-entraid
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      extraParams: prompt=consent, access_type=offline
      issuerURI: https://login.microsoftonline.com/TENANT_ID/v2.0
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: openid,email,offline_access
      userClaim: email
# Multiple lines are omitted here. Do not modify any pre-filled data.

# Multiple lines are omitted here.
spec:
  authentication:
  - name: NAME
    proxy: PROXY_URL
    azureAD:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      tenant: TENANT_ID
      kubectlRedirectURI: http://localhost:PORT/callback
      groupFormat: GROUP_FORMAT
      userClaim: USER_CLAIM
# Multiple lines are omitted here. Do not modify any pre-filled data.

# Multiple lines are omitted here.
spec:
  authentication:
  - name: okta
    oidc:
      clientID: CLIENT_ID
      clientSecret: CLIENT_SECRET
      cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
      enableAccessToken: true
      extraParams: prompt=consent
      groupsClaim: groups
      issuerURI: https://OKTA_ISSUER_URI/
      kubectlRedirectURI: http://localhost:PORT/callback
      scopes: offline_access,email,profile,groups
      userClaim: email
# Multiple lines are omitted here. Do not modify any pre-filled data.

Nächste Schritte

Nachdem die Konfiguration angewendet wurde, richten Sie den Nutzerzugriff auf Cluster ein.