Puoi utilizzare i provider di identità di terze parti esistenti per l'autenticazione nei tuoi cluster Kubernetes registrati in un parco risorse. Questo documento descrive i protocolli di autenticazione supportati e i tipi di cluster che supportano ciascun protocollo. Gli utenti possono accedere e gestire i tuoi cluster dalla riga di comando o dalla console Google Cloud , senza che tu debba modificare il provider di identità.
Se preferisci utilizzare gli ID Google per accedere ai cluster anziché utilizzare un provider di identità, consulta Connettersi ai cluster registrati con il gateway Connect.
Provider di identità supportati
Se disponi di un provider di identità di terze parti, puoi utilizzare i seguenti protocolli per l'autenticazione ai tuoi cluster:
- OpenID Connect (OIDC): OIDC è un protocollo di autenticazione moderno e leggero basato sul framework di autorizzazione OAuth 2.0. Forniamo istruzioni specifiche per la configurazione di alcuni provider OpenID Connect popolari, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
- Security Assertion Markup Language (SAML): SAML è uno standard basato su XML per lo scambio di dati di autenticazione e autorizzazione tra le parti, principalmente tra un provider di identità (IdP) e un fornitore di servizi (SP).
- Lightweight Directory Access Protocol (LDAP): LDAP è un protocollo standardizzato e consolidato per accedere ai servizi di informazioni della directory e gestirli. Viene comunemente utilizzato per archiviare e recuperare informazioni sugli utenti, come nomi utente, password e appartenenze a gruppi. Puoi autenticarti utilizzando LDAP con Active Directory o un server LDAP.
Tipi di cluster supportati
Questo servizio di autenticazione può essere installato solo sui cluster registrati in un parco risorse. La maggior parte dei tipi di cluster sono sempre registrati in un parco risorse. Per i cluster GKE su Google Cloud, devi registrarli esplicitamente nel tuo parco risorse per utilizzare questo servizio.
La seguente tabella descrive i tipi di cluster che supportano l'autenticazione di terze parti e i protocolli specifici che puoi utilizzare per ciascun tipo:
| Tipi di cluster e protocolli supportati | |
|---|---|
| GDC (VMware) |
Supporta i seguenti protocolli:
|
| GDC (bare metal) |
Supporta i seguenti protocolli:
|
| GKE su Google Cloud (solo membri del parco risorse) | Supporta OIDC |
| GKE su AWS |
Supporta OIDC |
| GKE su Azure |
Supporta OIDC |
Le seguenti configurazioni non sono supportate:
- Cluster collegati a GKE: non sono supportate installazioni EKS, AKS o altre installazioni Kubernetes. Per connetterti a questi cluster GKE collegati, utilizza Connect Gateway.
- Per i deployment VMware di Google Distributed Cloud, puoi autenticarti solo nei cluster utente utilizzando il protocollo LDAP. I cluster di amministrazione su VMware non supportano l'autenticazione con LDAP.
- Cluster GKE su Google Cloud: i cluster GKE devono essere registrati nel tuo parco risorse. Per connetterti ai cluster GKE che non si trovano in un parco risorse, utilizza la federazione delle identità per la forza lavoro.
Procedura di configurazione
La configurazione dell'autenticazione da parte di provider di identità di terze parti coinvolge i seguenti utenti e passaggi:
- Configura i provider: L'amministratore della piattaforma registra un'applicazione client con il proprio provider di identità. Questa applicazione client ha la configurazione specifica del protocollo per Kubernetes. L'amministratore della piattaforma riceve un ID client e un secret dal provider di identità.
Configura i cluster: l'amministratore del cluster configura i cluster per il tuo servizio di identità. Gli amministratori del cluster possono configurare i cluster nel seguente modo:
- Configurazione a livello di parco risorse: l'amministratore del cluster configura tutti i cluster registrati in un parco risorse specifico. Utilizza questo metodo per configurare più cluster contemporaneamente con una configurazione simile. Per ulteriori informazioni, vedi Configurare l'autenticazione a livello di parco auto.
Configurazione del singolo cluster: l'amministratore del cluster configura ogni cluster separatamente. Utilizza questo metodo per gli scenari in cui diversi tipi di cluster richiedono configurazioni di autenticazione diverse. Per saperne di più, consulta i seguenti documenti:
Configura l'accesso utente: L'amministratore del cluster configura l'accesso di accesso utente per l'autenticazione ai cluster utilizzando l'accesso FQDN (consigliato) o l'accesso basato su file e, facoltativamente, configura il controllo dell'controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes per gli utenti di questi cluster.