GKE su AWS supporta OpenID Connect (OIDC) e AWS IAM come meccanismo di autenticazione per interagire con il server API Kubernetes di un cluster, utilizzando GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di portare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti. Gli utenti possono accedere e utilizzare i cluster GKE dalla riga di comando o dalla consoleGoogle Cloud , utilizzando il provider di identità esistente.
Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.
Se utilizzi già o vuoi utilizzare le identità Google per accedere ai tuoi cluster GKE, ti consigliamo di utilizzare il comando gcloud containers aws clusters get-credentials per l'autenticazione. Scopri di più in Connessione al cluster e autenticazione.
Autenticazione OpenID Connect
Prima di iniziare
Per utilizzare l'autenticazione OIDC, gli utenti devono essere in grado di connettersi al control plane del cluster. Consulta Connessione al piano di controllo del cluster.
Per l'autenticazione tramite la console Google Cloud , devi registrare ogni cluster che vuoi configurare con il tuo parco risorse di progetti. Per GKE su AWS, questa operazione è automatica una volta creato un pool di nodi.
Per consentire agli utenti di autenticarsi tramite la console Google Cloud , assicurati che tutti i cluster che vuoi configurare siano registrati con il tuo parco progetti. Per GKE su AWS, questa operazione è automatica una volta creato un pool di nodi.
Procedura di configurazione e opzioni
Registra GKE Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per GKE Identity Service.
Scegli tra le seguenti opzioni di configurazione del cluster:
Configura i cluster a livello di parco risorse seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service a livello di parco risorse. Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.
Configura i cluster singolarmente seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service con OIDC.
Configura l'accesso degli utenti ai tuoi cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurazione dell'accesso utente per GKE Identity Service.
Accesso ai cluster
Una volta configurato GKE Identity Service su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la console Google Cloud .
- Scopri come accedere ai cluster registrati con il tuo ID OIDC in Accesso ai cluster utilizzando GKE Identity Service.
- Scopri come accedere ai cluster dalla console Google Cloud in Accesso a un cluster dalla console Google Cloud .
Autenticazione AWS IAM
Il supporto di AWS IAM su GKE su AWS utilizza GKE Identity Service.
Prima di iniziare
Per utilizzare l'autenticazione AWS IAM, gli utenti devono essere in grado di connettersi al control plane del cluster. Consulta Connessione al piano di controllo del cluster.
Procedura di configurazione e opzioni
Per configurare il cluster in modo da consentire l'autenticazione AWS IAM per una determinata regione AWS, svolgi le seguenti operazioni:
Modifica la risorsa
ClientConfigsul tuo cluster:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-publicSostituisci
KUBECONFIG_PATHcon il percorso del file kubeconfig del cluster, ad esempio$HOME/.kube/config.L'editor di testo carica la risorsa ClientConfig del cluster. Aggiungi l'oggetto
spec.authentication.awscome mostrato di seguito. Non modificare i dati predefiniti già scritti.apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGIONSostituisci quanto segue:
NAME: un nome arbitrario di questo metodo di autenticazione. Ad esempio, "aws-iam".AWS_REGION: la regione AWS da cui vengono recuperate le informazioni utente. Deve corrispondere alla regione configurata nell'interfaccia a riga di comando AWS degli utenti.
Per consentire agli utenti del cluster di utilizzare AWS IAM, segui la procedura descritta in Configurazione dell'accesso utente per GKE Identity Service.
Accesso ai cluster
Una volta configurato GKE Identity Service su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la console Google Cloud .
Per scoprire come accedere ai cluster registrati con la tua identità AWS IAM, vedi Accesso ai cluster utilizzando GKE Identity Service.