您可以使用现有的第三方身份提供方对 Kubernetes 集群进行身份验证。本文档介绍了支持的身份验证协议以及支持每种协议的集群类型。用户可以通过命令行或Google Cloud 控制台访问和管理集群,而无需您更改您的身份提供方。
如果您想使用 Google ID(而不是身份提供方)登录 GKE 集群,请参阅使用 Connect 网关连接到已注册的集群。
支持的身份提供方
如果您有第三方身份提供方,可以使用以下协议对集群进行身份验证:
- OpenID Connect (OIDC):OIDC 是一种基于 OAuth 2.0 授权框架构建的现代轻量级身份验证协议。我们针对常用的 OpenID Connect 提供商(包括 Microsoft)提供了具体的设置说明,但您可以使用任何实施 OIDC 的提供商。
- 安全断言标记语言 (SAML):SAML 是一种基于 XML 的标准,用于在各方之间交换身份验证和授权数据,主要是在身份提供方 (IdP) 和服务提供商 (SP) 之间。
- 轻量级目录访问协议 (LDAP):LDAP 是一种成熟的标准化协议,用于访问和管理目录信息服务。它通常用于存储和检索用户信息,例如用户名、密码和群组成员资格。您可以使用 LDAP 和 Active Directory 或 LDAP 服务器进行身份验证。
支持的集群类型
| 协议 | GDC (VMware) | GDC (Bare Metal) | GKE on AWS | GKE on Azure | GKE on Google Cloud |
|---|---|---|---|---|---|
| OIDC | |||||
| LDAP | |||||
| SAML |
您无法通过第三方身份提供方向其他关联的集群类型进行身份验证。
设置过程
设置通过第三方身份提供方进行身份验证涉及以下用户和步骤:
- 配置提供方:平台管理员向其身份提供方注册客户端应用。此客户端应用根据具体协议提供适用于 Kubernetes 的配置。平台管理员从身份提供方处获取客户端 ID 和密钥。
- 设置各个集群或设置舰队:集群管理员可为您的身份服务设置集群。集群管理员可以为 Google Distributed Cloud(VMware 和 Bare Metal)、GKE on AWS 或 GKE on Azure 配置各个集群。或者,您也可以选择配置整个舰队,舰队是集群的逻辑组,可让您在这些集群中启用功能并更新配置。
- 设置用户访问权限:集群管理员使用 FQDN 访问权限(推荐)或基于文件的访问权限方法设置用户登录访问权限以对集群进行身份验证,并可选择为这些集群上的用户配置 Kubernetes 基于角色的访问控制 (RBAC)。