您可以透過現有的第三方識別資訊提供者,驗證已註冊至機群的 Kubernetes 叢集。本文說明支援的驗證通訊協定,以及支援各通訊協定的叢集類型。使用者可以透過指令列或 Google Cloud 控制台存取及管理叢集,您不必變更身分識別供應商。
如果您偏好使用 Google ID 登入叢集,而非使用身分識別提供者,請參閱「透過 Connect 閘道連線至已註冊的叢集」。
支援的識別資訊提供者
如果您有第三方識別資訊提供者,可以使用下列通訊協定向叢集進行驗證:
- OpenID Connect (OIDC):OIDC 是以 OAuth 2.0 授權架構為基礎建構的現代輕量型驗證通訊協定。我們提供部分熱門 OpenID Connect 提供者 (包括 Microsoft) 的設定具體操作說明,但您可以使用任何實作 OIDC 的提供者。
- 安全宣告標記語言 (SAML):SAML 是一種以 XML 為基礎的標準,用於在各方之間交換驗證和授權資料,主要是在識別資訊提供者 (IdP) 和服務供應商 (SP) 之間交換。
- 輕量型目錄存取通訊協定 (LDAP):LDAP 是成熟的標準化通訊協定,可存取及管理目錄資訊服務。LDAP 通常用於儲存及擷取使用者資訊,例如使用者名稱、密碼和群組成員資格。您可以使用 LDAP 搭配 Active Directory 或 LDAP 伺服器進行驗證。
支援的叢集類型
這項驗證服務只能安裝在已向機群註冊的叢集。大多數叢集類型一律會註冊至機群。如要使用這項服務,您必須明確將 Google Cloud上的 GKE 叢集註冊至機群。
下表說明支援第三方驗證的叢集類型,以及每種叢集類型可使用的特定通訊協定:
| 支援的叢集類型和通訊協定 | |
|---|---|
| GDC (VMware) |
支援下列通訊協定:
|
| GDC (裸機) |
支援下列通訊協定:
|
| GKE on Google Cloud (僅限機群成員) | 支援 OIDC |
| GKE on AWS |
支援 OIDC |
| GKE on Azure |
支援 OIDC |
系統不支援下列設定:
- GKE 附加叢集: 不支援任何 EKS、AKS 或其他 Kubernetes 安裝項目。如要連線至這些 GKE 連結叢集,請使用 Connect 閘道。
- 如果是 Google Distributed Cloud 的 VMware 部署作業,您只能使用 LDAP 通訊協定向使用者叢集進行驗證。VMware 上的管理員叢集不支援使用 LDAP 進行驗證。
- GKE 叢集:GKE 叢集必須 Google Cloud註冊至機群。如要連線至不在機群中的 GKE 叢集,請使用員工身分聯盟。
設定程序
如要設定由第三方識別資訊提供者進行驗證,需要下列使用者和步驟:
- 設定供應商: 平台管理員向身分識別供應商註冊用戶端應用程式。這個用戶端應用程式具有 Kubernetes 的通訊協定專屬設定。平台管理員會從身分識別提供者取得用戶端 ID 和密鑰。
設定叢集:叢集管理員會為您的身分識別服務設定叢集。叢集管理員可以按照下列步驟設定叢集:
- 機群層級設定:叢集管理員會設定註冊至特定機群的所有叢集。使用這個方法,一次設定多個具有類似設定的叢集。詳情請參閱「設定叢集層級驗證」。
個別叢集設定:叢集管理員會分別設定每個叢集。如果不同叢集類型需要不同的驗證設定,請使用這個方法。詳情請參閱下列文件:
設定使用者存取權: 叢集管理員會設定使用者登入存取權,以便使用完整網域名稱 (FQDN) 存取 (建議) 或檔案存取方法,向叢集進行驗證,並視需要為這些叢集的使用者設定 Kubernetes 角色式存取控管 (RBAC)。