O GKE no AWS suporta o OpenID Connect (OIDC) e o AWS IAM como um mecanismo de autenticação para interagir com o servidor da API Kubernetes de um cluster, através do GKE Identity Service. O GKE Identity Service é um serviço de autenticação que lhe permite usar as suas soluções de identidade existentes para autenticação em vários ambientes. Os utilizadores podem iniciar sessão e usar os seus clusters do GKE a partir da linha de comandos ou daGoogle Cloud consola, tudo através do seu fornecedor de identidade existente.
Para uma vista geral de como funciona o GKE Identity Service, consulte o artigo Apresentamos o GKE Identity Service.
Se já usa ou quer usar identidades Google para iniciar sessão nos seus clusters do GKE, recomendamos que use o comando gcloud containers aws clusters get-credentials para autenticação. Saiba mais em Estabeleça ligação e autentique-se no seu cluster.
Autenticação OpenID Connect
Antes de começar
Para usar a autenticação OIDC, os utilizadores têm de conseguir estabelecer ligação ao plano de controlo do cluster. Consulte o artigo Ligue-se ao plano de controlo do cluster.
Para fazer a autenticação através da Google Cloud consola, tem de registar cada cluster que quer configurar com a sua frota de projetos. Para o GKE no AWS, isto é automático assim que tiver criado um conjunto de nós.
Para permitir que os utilizadores se autentiquem através da Google Cloud consola, certifique-se de que todos os clusters que quer configurar estão registados na frota do seu projeto. Para o GKE no AWS, isto é automático assim que tiver criado um conjunto de nós.
Processo e opções de configuração
Registe o GKE Identity Service como cliente junto do seu fornecedor de OIDC seguindo as instruções em Configurar fornecedores para o GKE Identity Service.
Escolha uma das seguintes opções de configuração do cluster:
Configure os seus clusters ao nível da frota seguindo as instruções em Configurar clusters para o serviço de identidade do GKE ao nível da frota. Com esta opção, a sua configuração de autenticação é gerida centralmente por Google Cloud.
Configure os clusters individualmente seguindo as instruções em Configurar clusters para o serviço de identidade do GKE com OIDC.
Configure o acesso dos utilizadores aos seus clusters, incluindo o controlo de acesso baseado em funções (RBAC), seguindo as instruções em Configurar o acesso dos utilizadores para o serviço de identidade do GKE.
Aceder a clusters
Depois de o GKE Identity Service ser configurado num cluster, os utilizadores podem iniciar sessão nos clusters através da linha de comandos ou da Google Cloud consola.
- Saiba como iniciar sessão em clusters registados com o seu ID OIDC em Aceder a clusters através do GKE Identity Service.
- Saiba como iniciar sessão em clusters a partir da Google Cloud consola em Iniciar sessão num cluster a partir da Google Cloud consola.
Autenticação AWS IAM
O suporte do AWS IAM no GKE no AWS usa o GKE Identity Service.
Antes de começar
Para usar a autenticação do AWS IAM, os utilizadores têm de conseguir estabelecer ligação ao plano de controlo do cluster. Consulte o artigo Ligue-se ao plano de controlo do cluster.
Processo e opções de configuração
Para configurar o cluster de modo a permitir a autenticação do IAM da AWS para uma região da AWS específica, faça o seguinte:
Edite o recurso
ClientConfigno cluster:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-publicSubstitua
KUBECONFIG_PATHpelo caminho para o ficheiro kubeconfig do cluster, por exemplo,$HOME/.kube/config.O editor de texto carrega o recurso ClientConfig do cluster. Adicione o objeto
spec.authentication.aws, conforme mostrado abaixo. Não modifique os dados predefinidos que já foram escritos.apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGIONSubstitua o seguinte:
NAME: um nome arbitrário deste método de autenticação. Por exemplo, "aws-iam".AWS_REGION: a região da AWS onde as informações do utilizador são obtidas. Tem de corresponder à região configurada na CLI da AWS dos seus utilizadores.
Para permitir que os utilizadores do cluster usem o AWS IAM, siga as instruções em Configurar o acesso do utilizador para o serviço de identidade do GKE.
Aceder a clusters
Depois de o GKE Identity Service ser configurado num cluster, os utilizadores podem iniciar sessão nos clusters através da linha de comandos ou da Google Cloud consola.
Para saber como iniciar sessão em clusters registados com a sua identidade do AWS IAM, consulte o artigo Aceder a clusters através do GKE Identity Service.