Google Distributed Cloud 支援 OpenID Connect (OIDC) 和輕量型目錄存取通訊協定 (LDAP),做為與叢集 Kubernetes API 伺服器互動的驗證機制,並使用 GKE Identity Service。GKE Identity Service 是一項驗證服務,可讓您在多個 GKE Enterprise 環境中,使用現有的身分識別解決方案進行驗證。使用者可以透過現有的身分識別提供者,從指令列 (所有提供者) 或Google Cloud 控制台 (僅限 OIDC) 登入及使用 GKE 叢集。
GKE Identity Service 適用於任何類型的裸機叢集:管理員、使用者、混合或獨立叢集。您可以使用內部部署和可公開存取的識別資訊提供者。舉例來說,如果貴企業執行 Active Directory 同盟服務 (ADFS) 伺服器,ADFS 伺服器就能做為 OpenID 提供者。您也可以使用可公開連線的識別資訊提供者服務,例如 Okta。身分識別提供者憑證可由知名公開憑證授權單位 (CA) 或私人 CA 核發。
如要瞭解 GKE Identity Service 的運作方式,請參閱「GKE Identity Service 簡介」。
如果您已使用或想使用 Google ID 登入 GKE 叢集,而非 OIDC 或 LDAP 提供者,建議使用連線閘道進行驗證。詳情請參閱「透過連線閘道連線至已註冊的叢集」。
事前準備
如要提示使用者同意聲明並授權使用者帳戶,請使用瀏覽器式驗證流程。系統不支援無螢幕裝置。
如要透過 Google Cloud 控制台進行驗證,您要設定的每個叢集都必須向專案機群註冊。
設定程序和選項
GKE Identity Service 支援使用下列通訊協定的識別資訊提供者:
OpenID Connect (OIDC)。我們提供部分熱門 OpenID 提供者 (包括 Microsoft) 的設定專用操作說明,但您可以使用任何實作 OIDC 的提供者。
輕量型目錄存取通訊協定 (LDAP)。您可以使用 GKE Identity Service,透過 LDAP 搭配 Active Directory 或 LDAP 伺服器進行驗證。
OIDC
按照「為 GKE Identity Service 設定供應商」一文中的操作說明,向 OIDC 供應商註冊 GKE Identity Service 做為用戶端。
選擇下列叢集設定選項:
按照「為機群層級 GKE Identity Service 設定叢集」(預先發布版,Google Distributed Cloud 1.8 以上版本) 中的操作說明,在機群層級設定叢集。如果採用這個做法,驗證設定會由 Google Cloud集中管理。
請按照「使用 OIDC 設定 GKE Identity 服務的叢集」一文中的操作說明,個別設定叢集。由於機群層級設定是預先發布功能,如果您使用舊版 Google Distributed Cloud,或需要機群層級生命週期管理功能尚未支援的 GKE Identity Service 功能,建議在生產環境中使用這個選項。
按照「為 GKE Identity Service 設定使用者存取權」一文中的操作說明,設定叢集的使用者存取權,包括角色型存取權控管 (RBAC)。
LDAP
如要開始使用 LDAP,請按照「使用 LDAP 設定 GKE Identity Service」一文中的操作說明進行。
存取叢集
設定 GKE Identity Service 後,使用者就能透過指令列或 Google Cloud 控制台登入已設定的叢集。
如要瞭解如何使用 OIDC 或 LDAP ID 登入已註冊的叢集,請參閱「使用 GKE Identity Service 存取叢集」。
瞭解如何從 Google Cloud 控制台登入叢集,請參閱「從Google Cloud 控制台使用叢集」(僅限 OIDC)。
排解登入流程問題
如要排解直接在 GKE Identity Service 伺服器上,使用完整網域名稱 (FQDN) 驗證的登入流程問題,可以使用 GKE Identity Service 診斷公用程式。診斷公用程式會模擬 OIDC 提供者的登入流程,快速找出設定問題。這項工具需要 1.32 以上版本的叢集,且僅支援 OIDC。詳情請參閱 GKE Identity Service 診斷公用程式。