GKE Identity Service – Übersicht
GKE Identity Service ist ein Authentifizierungsdienst, der sich in Ihre vorhandenen Identitätslösungen einbinden lässt. So können Sie diese Identitätslösungen in mehreren GKE Enterprise-Umgebungen verwenden. Nutzer können sich über die Befehlszeile oder die Google Cloud Console unter Verwendung Ihres Identitätsanbieters bei Ihren GKE-Clustern anmelden und diese verwalten.
Wenn Sie sich lieber mit Google-IDs bei Ihren GKE-Clustern anmelden möchten, anstatt einen Identitätsanbieter zu verwenden, lesen Sie den Abschnitt Mit dem Connect-Gateway eine Verbindung zu registrierten Clustern herstellen.
Unterstützte Identitätsanbieter
GKE Identity Service unterstützt die folgenden Identitätsanbieterprotokolle, um Nutzer zu überprüfen und zu authentifizieren, wenn sie versuchen, auf Ressourcen oder Dienste zuzugreifen:
- OpenID Connect (OIDC): OIDC ist ein modernes, schlankes Authentifizierungsprotokoll, das auf dem OAuth 2.0-Autorisierungsframework basiert. Für einige bekannte OpenID-Anbieter, darunter Microsoft, werden spezifische Informationen zur Einrichtung bereitgestellt. Sie können aber auch einen beliebigen Anbieter verwenden, der OIDC implementiert.
- Security Assertion Markup Language (SAML): SAML ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, hauptsächlich zwischen einem Identitätsanbieter und einem Dienstanbieter. Sie können GKE Identity Service verwenden, um sich mit SAML zu authentifizieren.
- Lightweight Directory Access Protocol (LDAP): LDAP ist ein ausgereiftes, standardisiertes Protokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationsdiensten. Es wird häufig zum Speichern und Abrufen von Nutzerinformationen wie Nutzernamen, Passwörtern und Gruppenmitgliedschaften verwendet. Sie können GKE Identity Service verwenden, um sich mit LDAP bei Active Directory oder einem LDAP-Server zu authentifizieren.
Unterstützte Clustertypen
| Protokoll | Google Distributed Cloud | Google Distributed Cloud | GKE on AWS | GKE on Azure | Mit EKS verknüpfte Cluster | GKE |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Andere angehängte Clustertypen werden für die Verwendung mit GKE Identity Service nicht unterstützt.
Einrichtung
Das Einrichten von GKE Identity Service für Ihre Cluster umfasst die folgenden Nutzer und Prozessschritte:
- Anbieter konfigurieren Der Plattformadministrator registriert GKE Identity Service als Clientanwendung bei seinem bevorzugten Identitätsanbieter und erhält eine Client-ID und ein Secret.
- Einzelne Cluster einrichten oder eine Flotte einrichten: Der Clusteradministrator richtet Cluster für Ihren Identitätsdienst ein. Sie können GKE Identity Service auf Clusterbasis für lokale GKE-Cluster (VMware und Bare Metal), in AWS und in Azure einrichten. Alternativ können Sie GKE Identity Service für eine Flotte einrichten. Eine Flotte ist eine logische Gruppe von Clustern, mit der Sie für alle enthaltenen Cluster Funktionen aktivieren und die Konfiguration aktualisieren können.
- Nutzerzugriff einrichten: Der Clusteradministrator richtet den Nutzeranmeldezugriff ein, um sich über den FQDN-Zugriff (empfohlen) oder den dateibasierten Zugriff bei den Clustern zu authentifizieren. Optional konfiguriert er die rollenbasierte Kubernetes-Zugriffssteuerung für Nutzer in diesen Clustern.