Anda dapat menggunakan penyedia identitas pihak ketiga yang ada untuk mengautentikasi ke cluster Kubernetes yang terdaftar ke fleet. Dokumen ini menjelaskan protokol autentikasi yang didukung dan jenis cluster yang mendukung setiap protokol. Pengguna dapat mengakses dan mengelola cluster Anda dari command line atau dari Google Cloud konsol, tanpa mengharuskan Anda mengubah penyedia identitas.
Jika Anda lebih suka menggunakan ID Google untuk login ke cluster, bukan menggunakan penyedia identitas, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.
Penyedia identitas yang didukung
Jika memiliki penyedia identitas pihak ketiga, Anda dapat menggunakan protokol berikut untuk mengautentikasi ke cluster:
- OpenID Connect (OIDC): OIDC adalah protokol autentikasi modern dan ringan yang dibangun di atas framework otorisasi OAuth 2.0. Kami memberikan petunjuk khusus untuk penyiapan beberapa penyedia OpenID Connect populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia yang menerapkan OIDC.
- Security Assertion Markup Language (SAML): SAML adalah standar berbasis XML untuk bertukar data autentikasi dan otorisasi antarpihak, terutama antara penyedia identitas (IdP) dan penyedia layanan (SP).
- Lightweight Directory Access Protocol (LDAP): LDAP adalah protokol standar yang matang untuk mengakses dan mengelola layanan informasi direktori. Protokol ini biasanya digunakan untuk menyimpan dan mengambil informasi pengguna, seperti nama pengguna, sandi, dan keanggotaan grup. Anda dapat melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
Jenis cluster yang didukung
Layanan autentikasi ini hanya dapat diinstal di cluster yang terdaftar ke fleet. Sebagian besar jenis cluster selalu terdaftar ke fleet. Untuk cluster GKE di Google Cloud, Anda harus mendaftarkan cluster secara eksplisit ke fleet untuk menggunakan layanan ini.
Tabel berikut menjelaskan jenis cluster yang mendukung autentikasi pihak ketiga dan protokol tertentu yang dapat Anda gunakan untuk setiap jenis:
| Jenis dan protokol cluster yang didukung | |
|---|---|
| GDC (VMware) |
Mendukung protokol berikut:
|
| GDC (bare metal) |
Mendukung protokol berikut:
|
| GKE di Google Cloud (hanya anggota fleet) | Mendukung OIDC |
| GKE di AWS |
Mendukung OIDC |
| GKE di Azure |
Mendukung OIDC |
Konfigurasi berikut tidak didukung:
- Cluster terlampir GKE: semua penginstalan EKS, AKS, atau Kubernetes lainnya tidak didukung. Untuk terhubung ke cluster terlampir GKE ini, gunakan gateway Connect.
- Untuk deployment VMware Google Distributed Cloud, Anda hanya dapat melakukan autentikasi ke cluster pengguna menggunakan protokol LDAP. Cluster admin di VMware tidak mendukung autentikasi dengan LDAP.
- Cluster GKE di Google Cloud: cluster GKE Anda harus terdaftar ke fleet. Untuk terhubung ke cluster GKE yang tidak ada di fleet, gunakan Workforce Identity Federation.
Proses penyiapan
Menyiapkan autentikasi dari penyedia identitas pihak ketiga melibatkan pengguna dan langkah-langkah berikut:
- Mengonfigurasi penyedia: _Administrator platform_ mendaftarkan aplikasi klien dengan penyedia identitasnya. Aplikasi klien ini memiliki konfigurasi khusus protokol untuk Kubernetes. Administrator platform mendapatkan client ID dan rahasia dari penyedia identitas.
Menyiapkan cluster: Administrator cluster menyiapkan cluster untuk layanan identitas Anda. Administrator cluster dapat menyiapkan cluster sebagai berikut:
- Penyiapan tingkat fleet: administrator cluster mengonfigurasi semua cluster yang terdaftar ke fleet tertentu. Gunakan metode ini untuk menyiapkan beberapa cluster sekaligus dengan konfigurasi yang serupa. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi tingkat fleet.
Penyiapan cluster individual: administrator cluster mengonfigurasi setiap cluster secara terpisah. Gunakan metode ini untuk skenario saat berbagai jenis cluster memerlukan konfigurasi autentikasi yang berbeda. Untuk mengetahui informasi selengkapnya, lihat dokumen berikut:
Menyiapkan akses pengguna: Administrator cluster menyiapkan akses login pengguna untuk melakukan autentikasi ke cluster menggunakan pendekatan akses FQDN (direkomendasikan) atau akses berbasis file, dan secara opsional mengonfigurasi kontrol akses berbasis peran (RBAC) Kubernetes untuk pengguna di cluster ini.