Os clusters do Anthos em bare metal agora são o Google Distributed Cloud (somente software) em bare metal. Para mais informações, consulte a visão geral do produto.

Esta página foi traduzida pela API Cloud Translation.

Gerenciar identidade com o serviço de identidade do GKE

O Google Distributed Cloud oferece suporte ao OpenID Connect (OIDC) e ao Protocolo leve de acesso a diretórios (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster, usando o GKE Identity Service. O Serviço de identidade do GKE é um serviço de autenticação que permite levar suas soluções de identidade atuais para autenticação em vários ambientes do GKE Enterprise. Os usuários podem fazer login e usar os clusters do GKE na linha de comando (todos os provedores) ou no consoleGoogle Cloud (somente OIDC), usando seu provedor de identidade atual.

O serviço de identidade do GKE funciona com qualquer tipo de cluster bare metal: administrador, usuário, híbrido ou independente. Você pode usar provedores de identidade locais e acessíveis publicamente. Por exemplo, se sua empresa executa um servidor de Serviços de federação do Active Directory (ADFS, na sigla em inglês), o servidor ADFS pode servir como seu provedor de OpenID. Você também pode usar serviços de provedor de identidade acessíveis publicamente, como o Okta. Os certificados de provedor de identidade podem ser emitidos por uma autoridade de certificação pública (AC) conhecida ou por uma AC particular.

Para uma visão geral de como o GKE Identity Service funciona, consulte Introdução ao GKE Identity Service.

Se você já usa ou quer usar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor OIDC ou LDAP, recomendamos o uso do gateway do Connect para autenticação. Saiba mais em Como se conectar a clusters registrados com o gateway do Connect.

Antes de começar

Para solicitar o consentimento dos usuários e autorizar a conta de usuário, um fluxo de autenticação baseado em navegador é usado. Não há suporte para sistemas headless.
Para autenticar pelo Google Cloud console, cada cluster que você quer configurar precisa ser registrado na frota do projeto.

Processo de configuração e opções

O GKE Identity Service é compatível com provedores de identidade usando os seguintes protocolos:

OpenID Connect (OIDC). Fornecemos instruções específicas para a configuração de alguns provedores OpenID conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
Protocolo leve de acesso a diretórios (LDAP). É possível usar o GKE Identity Service para fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.

OIDC

Registre o GKE Identity Service como um cliente com o provedor OIDC seguindo as instruções em Como configurar provedores para o GKE Identity Service.
Escolha uma destas opções de configuração de cluster:
- Configure os clusters no nível da frota seguindo as instruções em Como configurar clusters para o GKE Identity Service no nível da frota (pré-lançamento, Google Distributed Cloud versão 1.8 e mais recentes). Com essa opção, a configuração de autenticação é gerenciada centralmente por Google Cloud.
- Configure os clusters individualmente seguindo as instruções em Como configurar clusters para o GKE Identity Service com o OIDC. Como a configuração no nível da frota é um recurso de pré-lançamento, use esta opção em ambientes de produção, se você estiver usando uma versão anterior do Google Distributed Cloud ou se precisar de recursos do GKE Identity Service que ainda não são compatíveis com o gerenciamento do ciclo de vida no nível da frota.
Configure o acesso do usuário aos clusters, incluindo o controle de acesso baseado em papéis (RBAC, na sigla em inglês), seguindo as instruções em Como configurar o acesso do usuário para o GKE Identity Service.

LDAP

Para começar a usar o LDAP, siga as instruções em Configurar o GKE Identity Service com o LDAP.

Acessar clusters

Depois de configurar o GKE Identity Service, os usuários podem fazer login nos clusters configurados usando a linha de comando ou o console Google Cloud .

Saiba como fazer login em clusters registrados com o ID do OIDC ou LDAP em Como acessar clusters usando o GKE Identity Service.
Saiba como fazer login em clusters no console Google Cloud em Trabalhar com clusters no consoleGoogle Cloud (somente OIDC).

Resolver problemas no fluxo de login

Para resolver problemas de fluxos de login que se autenticam diretamente no servidor do serviço de identidade do GKE com um nome de domínio totalmente qualificado (FQDN), use o utilitário de diagnóstico do serviço de identidade do GKE. O utilitário de diagnóstico simula fluxos de login com seu provedor OIDC para identificar rapidamente problemas de configuração. Essa ferramenta requer um cluster da versão 1.32 ou mais recente e só oferece suporte ao OIDC. Para mais informações, consulte o utilitário de diagnóstico do Serviço de identidade do GKE.

Gerenciar identidade com o serviço de identidade do GKE Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.