GKE ב-AWS תומך בשיטות האימות הבאות:
- חיבור
- OpenID Connect (OIDC).
חיבור
כדי להיכנס באמצעות המסוף עם Connect, GKE ב-AWS יכול להשתמש באסימון bearer של חשבון שירות ב-Kubernetes. Google Cloud מידע נוסף זמין במאמר בנושא כניסה לאשכול מ Google Cloud המסוף.
שרת ה-API של Kubernetes וטוקן המזהה
אחרי שמבצעים אימות מול האשכול, אפשר להשתמש ב-CLI של kubectl כדי ליצור אינטראקציה עם ה-CLI של gcloud. כש-kubectl קורא לשרת Kubernetes API בשם המשתמש, שרת ה-API מאמת את האסימון באמצעות האישור הציבורי של ספק OpenID. לאחר מכן, שרת ה-API מנתח את האסימון כדי לזהות את המשתמש ואת קבוצות האבטחה שלו.
שרת ה-API קובע אם למשתמש יש הרשאה לבצע את הקריאה הספציפית הזו על ידי השוואה בין קבוצות האבטחה של המשתמש לבין מדיניות בקרת הגישה מבוססת-תפקידים (RBAC) של האשכול.
OIDC
GKE ב-AWS תומך באימות OIDC באמצעות GKE Identity Service. שירות הזהויות של GKE תומך בספקי זהויות רבים. מידע נוסף זמין במאמר בנושא ספקי זהויות נתמכים.
סקירה כללית
באמצעות OIDC, אתם יכולים לנהל את הגישה לאשכול באמצעות הנהלים הרגילים בארגון שלכם ליצירה, להפעלה ולהשבתה של חשבונות עובדים. אפשר גם להשתמש בקבוצות האבטחה של הארגון כדי להגדיר גישה לאשכול Kubernetes או לשירותים ספציפיים באשכול.
תהליך התחברות טיפוסי של OIDC הוא כזה:
משתמש נכנס לחשבון אצל ספק OpenID על ידי הזנת שם משתמש וסיסמה.
ספק OpenID חותם על אסימון מזהה עבור המשתמש ומנפיק אותו.
ה-CLI של gcloud שולח בקשת HTTPS לשרת Kubernetes API. האפליקציה כוללת את אסימון המזהה של המשתמש בכותרת הבקשה.
שרת ה-API של Kubernetes מאמת את האסימון באמצעות האישור של הספק.
כניסה באמצעות ה-CLI של gcloud
מריצים את הפקודה gcloud anthos auth login כדי לבצע אימות באמצעות האשכולות. ה-CLI של gcloud מאמת את הבקשה שלכם לשרת ה-API של Kubernetes.
כדי להשתמש ב-CLI של gcloud, אסימוני ה-ID של OIDC צריכים להיות מאוחסנים בקובץ kubeconfig.
מוסיפים טוקנים לקובץ kubeconfig באמצעות
gcloud anthos create-login-config.
GKE on AWS משתמש ב-CLI של gcloud כדי לבקש ולקבל את האסימון המזהה וערכים אחרים של OIDC בקובץ kubeconfig.