Pode usar fornecedores de identidade de terceiros existentes para autenticar os seus clusters do Kubernetes registados numa frota. Este documento descreve os protocolos de autenticação suportados e os tipos de clusters que suportam cada protocolo. Os utilizadores podem aceder e gerir os seus clusters a partir da linha de comandos ou da consola Google Cloud , sem que tenha de alterar o seu fornecedor de identidade.
Se preferir usar IDs Google para iniciar sessão nos seus clusters em vez de usar um fornecedor de identidade, consulte o artigo Estabeleça ligação a clusters registados com a gateway Connect.
Fornecedores de identidade suportados
Se tiver um fornecedor de identidade de terceiros, pode usar os seguintes protocolos para autenticar os seus clusters:
- OpenID Connect (OIDC): o OIDC é um protocolo de autenticação moderno e simples criado com base na estrutura de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns fornecedores populares do OpenID Connect, incluindo a Microsoft, mas pode usar qualquer fornecedor que implemente o OIDC.
- Linguagem de marcação de declaração de segurança (SAML): o SAML é uma norma baseada em XML para trocar dados de autenticação e autorização entre partes, principalmente entre um fornecedor de identidade (IdP) e um fornecedor de serviços (SP).
- Protocolo LDAP (Lightweight Directory Access Protocol): o LDAP é um protocolo padronizado e desenvolvido para aceder e gerir serviços de informações de diretório. É comummente usado para armazenar e obter informações do utilizador, como nomes de utilizador, palavras-passe e associações a grupos. Pode fazer a autenticação através do LDAP com o Active Directory ou um servidor LDAP.
Tipos de clusters suportados
Este serviço de autenticação só pode ser instalado em clusters registados numa frota. A maioria dos tipos de clusters está sempre registada numa frota. Para clusters do GKE no Google Cloud, tem de registar explicitamente os clusters na sua frota para usar este serviço.
A tabela seguinte descreve os tipos de clusters que suportam a autenticação de terceiros e os protocolos específicos que pode usar para cada tipo:
| Tipos de clusters e protocolos suportados | |
|---|---|
| GDC (VMware) |
Suporta os seguintes protocolos:
|
| GDC (bare metal) |
Suporta os seguintes protocolos:
|
| GKE no Google Cloud (apenas para membros da frota) | Suporta OIDC |
| GKE no AWS |
Suporta OIDC |
| GKE no Azure |
Suporta OIDC |
As seguintes configurações não são suportadas:
- Clusters associados do GKE: não são suportadas instalações do EKS, AKS ou outros Kubernetes. Para se ligar a estes clusters associados do GKE, use o gateway Connect.
- Para implementações do Google Distributed Cloud no VMware, só pode autenticar-se em clusters de utilizadores através do protocolo LDAP. Os clusters de administrador no VMware não suportam a autenticação com LDAP.
- Clusters do GKE em Google Cloud: os seus clusters do GKE têm de estar registados na sua frota. Para estabelecer ligação a clusters do GKE que não estão numa frota, use a federação de identidade da força de trabalho.
Processo de configuração
A configuração da autenticação a partir de Fornecedores de identidade de terceiros envolve os seguintes utilizadores e passos:
- Configurar fornecedores: O administrador da plataforma regista uma aplicação cliente junto do respetivo fornecedor de identidade. Esta aplicação cliente tem a configuração específica do protocolo para o Kubernetes. O administrador da plataforma recebe um ID de cliente e um segredo do fornecedor de identidade.
Configure clusters: o administrador do cluster configura clusters para o seu serviço de identidade. Os administradores de clusters podem configurar clusters da seguinte forma:
- Configuração ao nível da frota: o administrador do cluster configura todos os clusters registados numa frota específica. Use este método para configurar vários clusters de uma só vez com uma configuração semelhante. Para mais informações, consulte o artigo Configure a autenticação ao nível da frota.
Configuração individual do cluster: o administrador do cluster configura cada cluster separadamente. Use este método para cenários em que diferentes tipos de clusters precisam de configurações de autenticação diferentes. Para mais informações, consulte os seguintes documentos:
Configure o acesso do utilizador: O administrador do cluster configura o acesso de início de sessão do utilizador para autenticar nos clusters através da abordagem de acesso FQDN (recomendada) ou acesso baseado em ficheiros e, opcionalmente, configura o controlo de acesso baseado em funções (RBAC) do Kubernetes para utilizadores nestes clusters.