Google Distributed Cloud 支援 OpenID Connect (OIDC) 和輕量型目錄存取通訊協定 (LDAP),做為與叢集 Kubernetes API 伺服器互動的驗證機制,並使用 GKE Identity Service。透過 GKE Identity Service 這項驗證服務,您可以在多個 GKE Enterprise 環境使用現有的身分識別解決方案進行驗證。使用者可以透過指令列 (所有供應商) 或控制台 (僅限 OIDC),使用現有的身分識別提供者登入及使用 GKE 叢集。 Google Cloud
您可以使用 GKE Identity Service,搭配內部部署和可公開存取的識別資訊提供者。舉例來說,如果貴企業執行 Active Directory 同盟服務 (ADFS) 伺服器,ADFS 伺服器就能做為 OpenID 提供者。您也可以使用可公開連線的識別資訊提供者服務,例如 Okta。身分識別提供者憑證可由知名公開憑證授權單位 (CA) 或私人 CA 核發。
如要瞭解 GKE Identity Service 的運作方式,請參閱「推出 GKE Identity Service」。
如果您已使用或想使用 Google ID 登入 GKE 叢集,而非 OIDC 或 LDAP 提供者,建議使用 Connect 閘道進行驗證。詳情請參閱「透過 Connect 閘道連線至已註冊的叢集」。
設定程序和選項
OIDC
按照「為 GKE Identity Service 設定供應商」一文中的操作說明,向 OIDC 供應商註冊 GKE Identity Service 做為用戶端。
選擇下列叢集設定選項:
- 按照「為機群層級 GKE Identity Service 設定叢集」(預先發布版,Google Distributed Cloud 1.8 以上版本) 中的操作說明,在機群層級設定叢集。如果採用這個做法,驗證設定會由 Google Cloud集中管理。
- 請按照「使用 OIDC 設定 GKE Identity Service 的叢集」一文中的操作說明,個別設定叢集。由於機群層級設定是預先發布功能,如果您使用舊版 Google Distributed Cloud,或是需要機群層級生命週期管理功能尚未支援的 GKE Identity Service 功能,建議在生產環境中使用這個選項。
按照「為 GKE Identity Service 設定使用者存取權」一文中的操作說明,設定叢集的使用者存取權,包括角色型存取權控管 (RBAC)。
LDAP
- 請按照「使用 LDAP 設定 GKE Identity Service」一文說明操作。
存取叢集
設定 GKE Identity Service 後,使用者可以透過指令列或 Google Cloud 控制台登入已設定的叢集。
- 如要瞭解如何使用 OIDC 或 LDAP ID 登入已註冊的叢集,請參閱「使用 GKE Identity Service 存取叢集」。
- 瞭解如何從 Google Cloud 控制台登入叢集,請參閱「從 Google Cloud 控制台登入叢集」(僅限 OIDC)。
排解登入流程問題
如要排解直接在 GKE Identity Service 伺服器上,使用完整網域名稱 (FQDN) 驗證的登入流程問題,可以使用 GKE Identity Service 診斷公用程式。診斷公用程式會模擬 OIDC 提供者的登入流程,快速找出設定問題。這項工具需要 1.32 以上版本的叢集,且僅支援 OIDC。詳情請參閱 GKE Identity Service 診斷公用程式。