Questo documento è rivolto agli amministratori dei cluster che hanno già configurato i cluster membri del parco risorse per i provider di identità di terze parti. Fornisce istruzioni su come configurare e gestire l'accesso degli utenti a questi cluster configurati per gli sviluppatori e altri utenti della tua organizzazione.
Esistono due tipi di metodi di autenticazione che puoi utilizzare per configurare l'accesso degli utenti ai cluster:
- Configurazione con accesso FQDN (consigliata): con questo approccio, gli utenti possono eseguire l'autenticazione direttamente al cluster utilizzando il nome di dominio completo (FQDN) del server API Kubernetes del cluster. Per ulteriori informazioni, consulta Configurare l'accesso FQDN.
- Configurazione con accesso basato su file: con questo approccio, generi un file di configurazione dell'accesso e lo distribuisci agli utenti del cluster. Gli utenti possono quindi accedere ai cluster configurati con i comandi di autenticazione
gcloudutilizzando questo file. Per ulteriori informazioni, consulta Configurare l'accesso basato su file.
Configurare l'accesso FQDN (consigliata)
Questa sezione spiega come configurare l'accesso degli utenti fornendo all'utente l'URL (FQDN) di un server da utilizzare per l'autenticazione. Il flusso di autenticazione consente all'utente di accedere con il proprio IdP e gli fornisce un token che viene aggiunto al file kubeconfig per accedere al cluster. Questo approccio di autenticazione è supportato solo per i cluster on-premise (Google Distributed Cloud) su VMware e bare metal, a partire dalla versione 1.29. Gli altri tipi di cluster non sono supportati. Se devi configurare l'autenticazione per i cluster on-premise utilizzando una versione software supportata precedente o per altri tipi di cluster, segui le istruzioni per configurare l'accesso basato su file.
Prima di condividere l'FQDN con gli utenti, assicurati che tu o l'amministratore della piattaforma abbiate seguito la configurazione appropriata, inclusa la configurazione DNS per l'FQDN e la fornitura dell'FQDN come parte della registrazione al provider di identità, se necessario.
Condividere l'FQDN con gli utenti
Invece di un file di configurazione, gli amministratori dei cluster possono condividere con gli utenti l'FQDN del server API Kubernetes del cluster, ad esempio https://apiserver.example.com. Gli utenti possono utilizzare questo FQDN per accedere al cluster.
Configurare le opzioni di Identity Service
Con questa opzione di configurazione, puoi configurare la durata della durata del token. Il parametro sessionDuration in identityServiceOptions nel CR ClientConfig consente di configurare la durata del token (in minuti).
Il parametro sessionDuration ha un limite inferiore di 15 minuti e un limite massimo di 1440 minuti (24 ore).
Ecco un esempio di come appare nel CR ClientConfig:
spec:
identityServiceOptions:
sessionDuration: INT
dove INT è la durata della sessione in minuti.
Configurare l'accesso basato su file
In alternativa all'accesso FQDN, gli amministratori dei cluster possono generare un file di configurazione dell'accesso e distribuirlo agli utenti del cluster. Potresti voler utilizzare questa opzione se stai configurando l'autenticazione a un cluster con una versione o un tipo che non supporta l'accesso FQDN. Questo file consente agli utenti di accedere ai cluster dalla riga di comando con il provider scelto. Questo approccio di autenticazione è supportato solo per i provider OIDC e LDAP.
Generare la configurazione dell'accesso
Console
(Solo configurazione a livello di parco risorse)
Copia il comando gcloud visualizzato ed eseguilo per generare il file.
gcloud
Se hai configurato il cluster utilizzando gcloud CLI o se devi generare di nuovo il
file, esegui il seguente comando:
gcloud anthos create-login-config --kubeconfig=KUBECONFIG
dove KUBECONFIG è il percorso del file kubeconfig per il cluster. Se nel file kubeconfig sono presenti più contesti, viene utilizzato il contesto corrente. Prima di eseguire il comando, potrebbe essere necessario reimpostare il contesto corrente sul cluster corretto.
Puoi consultare i dettagli di riferimento completi per questo comando, inclusi i parametri facoltativi aggiuntivi, nella guida di riferimento di Google Cloud CLI.
Il nome predefinito del file di configurazione dell'accesso è kubectl-anthos-config.yaml, ovvero il nome previsto da Google Cloud CLI quando si utilizza il file per accedere. Se vuoi modificare questo nome in un nome non predefinito, consulta la sezione pertinente in Distribuire la configurazione dell'accesso.
Per informazioni sulla risoluzione dei problemi relativi all'accesso degli utenti, consulta Risolvere i problemi di accesso degli utenti.
Distribuire la configurazione dell'accesso
Di seguito sono riportati alcuni modi per distribuire il file di configurazione:
Ospita il file in un URL accessibile. Gli utenti possono specificare questa posizione con il flag
--login-configquando eseguonogcloud anthos auth login, consentendo a Google Cloud CLI di recuperare il file.Valuta la possibilità di ospitare il file su un host sicuro. Per ulteriori informazioni sull'utilizzo dei certificati PEM per l'accesso HTTPS sicuro, consulta il
--login-config-certflag di gcloud CLI perFornisci manualmente il file a ogni utente, con informazioni su dove salvarlo sulla macchina locale. Google Cloud CLI prevede di trovare il file in una località predefinita specifica del sistema operativo. Se il file ha un nome o una posizione non predefiniti, gli utenti devono utilizzare il flag
--login-configper specificare la posizione del file di configurazione quando eseguono i comandi sul cluster. Le istruzioni per gli utenti per salvare il file sono disponibili in Scegliere un metodo di accesso per accedere ai cluster.Utilizza gli strumenti interni per eseguire il push del file di configurazione dell'autenticazione sulla macchina di ogni utente. Google Cloud CLI prevede di trovare il file nelle seguenti posizioni, a seconda del sistema operativo dell'utente:
Linux
$HOME/.config/google/anthos/kubectl-anthos-config.yaml
macOS
$HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml
Windows
%APPDATA%\google\anthos\kubectl-anthos-config.yaml