Anda dapat menggunakan penyedia identitas pihak ketiga yang sudah ada untuk melakukan autentikasi ke cluster Kubernetes yang terdaftar ke fleet. Dokumen ini menjelaskan protokol autentikasi yang didukung dan jenis cluster yang mendukung setiap protokol. Pengguna dapat mengakses dan mengelola cluster Anda dari command line atau dari konsol, tanpa mengharuskan Anda mengubah penyedia identitas. Google Cloud
Jika Anda lebih suka menggunakan ID Google untuk login ke cluster, bukan menggunakan penyedia identitas, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.
Penyedia identitas yang didukung
Jika memiliki penyedia identitas pihak ketiga, Anda dapat menggunakan protokol berikut untuk melakukan autentikasi ke cluster:
- OpenID Connect (OIDC): OIDC adalah protokol autentikasi modern dan ringan yang dibangun di atas framework otorisasi OAuth 2.0. Kami memberikan petunjuk khusus untuk penyiapan beberapa penyedia OpenID Connect populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia mana pun yang menerapkan OIDC.
- Security Assertion Markup Language (SAML): SAML adalah standar berbasis XML untuk bertukar data autentikasi dan otorisasi antarpihak, terutama antara penyedia identitas (IdP) dan penyedia layanan (SP).
- Lightweight Directory Access Protocol (LDAP): LDAP adalah protokol standar yang matang untuk mengakses dan mengelola layanan informasi direktori. LDAP umumnya digunakan untuk menyimpan dan mengambil informasi pengguna, seperti nama pengguna, sandi, dan keanggotaan grup. Anda dapat melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
Jenis cluster yang didukung
Layanan autentikasi ini hanya dapat diinstal di cluster yang terdaftar ke fleet. Sebagian besar jenis cluster selalu terdaftar ke fleet. Untuk cluster GKE di Google Cloud, Anda harus mendaftarkan cluster secara eksplisit ke fleet Anda untuk menggunakan layanan ini.
Tabel berikut menjelaskan jenis cluster yang mendukung autentikasi pihak ketiga dan protokol spesifik yang dapat Anda gunakan untuk setiap jenis:
| Jenis dan protokol cluster yang didukung | |
|---|---|
| GDC (VMware) |
Mendukung protokol berikut:
|
| GDC (bare metal) |
Mendukung protokol berikut:
|
| GKE di Google Cloud (khusus anggota fleet) | Mendukung OIDC |
| GKE di AWS |
Mendukung OIDC |
| GKE di Azure |
Mendukung OIDC |
Konfigurasi berikut tidak didukung:
- Cluster terlampir GKE: semua penginstalan EKS, AKS, atau Kubernetes lainnya tidak didukung. Untuk terhubung ke cluster terpasang GKE ini, gunakan Connect Gateway.
- Untuk deployment VMware Google Distributed Cloud, Anda hanya dapat melakukan autentikasi ke cluster pengguna menggunakan protokol LDAP. Cluster admin di VMware tidak mendukung autentikasi dengan LDAP.
- Cluster GKE di Google Cloud: cluster GKE Anda harus didaftarkan ke fleet Anda. Untuk terhubung ke cluster GKE yang tidak ada di fleet, gunakan Workforce Identity Federation.
Proses penyiapan
Penyiapan autentikasi dari penyedia identitas pihak ketiga melibatkan pengguna dan langkah-langkah berikut:
- Konfigurasi penyedia: Administrator platform mendaftarkan aplikasi klien dengan penyedia identitas mereka. Aplikasi klien ini memiliki konfigurasi khusus protokol untuk Kubernetes. Administrator platform mendapatkan client ID dan secret dari penyedia identitas.
Menyiapkan cluster: Administrator cluster menyiapkan cluster untuk layanan identitas Anda. Administrator cluster dapat menyiapkan cluster sebagai berikut:
- Penyiapan tingkat fleet: administrator cluster mengonfigurasi semua cluster yang terdaftar ke fleet tertentu. Gunakan metode ini untuk menyiapkan beberapa cluster sekaligus dengan konfigurasi yang serupa. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi tingkat armada.
Penyiapan cluster individual: administrator cluster mengonfigurasi setiap cluster secara terpisah. Gunakan metode ini untuk skenario saat berbagai jenis cluster memerlukan konfigurasi autentikasi yang berbeda. Untuk mengetahui informasi selengkapnya, lihat dokumen berikut:
Menyiapkan akses pengguna: Administrator cluster menyiapkan akses login pengguna untuk mengautentikasi ke cluster menggunakan akses FQDN (direkomendasikan) atau pendekatan akses berbasis file, dan secara opsional mengonfigurasi kontrol akses berbasis peran (RBAC) Kubernetes untuk pengguna di cluster ini.