Utilitário de diagnóstico do serviço de identidade do GKE

O utilitário de diagnóstico do serviço de identidade do GKE ajuda a resolver problemas de autenticação baseada em FQDN. Se você tiver dificuldades para autenticar em um cluster usando um provedor OIDC específico, ative a ferramenta e use-a para identificar rapidamente problemas de configuração simulando fluxos de login com seu provedor OIDC.

O utilitário de diagnóstico está disponível apenas em clusters individuais que executam o GKE Enterprise 1.32 ou mais recente e só oferece suporte ao OIDC.

Ativar o utilitário de diagnóstico

O utilitário de diagnóstico é desativado por padrão e precisa ser ativado antes de ser usado para solucionar problemas. Para ativar, siga estas instruções:

1. Abra o recurso personalizado ClientConfig para edição:

   kubectl edit clientconfig default \
       --kubeconfig CLUSTER_KUBECONFIG -n kube-public
   

   O manifesto vai ser parecido com este:

   apiVersion: authentication.gke.io/v2alpha1
   kind: ClientConfig
   metadata:
     name: default
     namespace: kube-public
   spec:
     authentication:
     - name: oidc
       oidc:
         clientID: example-client-id
         clientSecret: example-client-secret
         cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
         extraParams: prompt=consent, access_type=offline
         issuerURI: https://example.com
         kubectlRedirectURI: http://localhost:PORT/callback
         scopes: openid,email,offline_access
         userClaim: email
   

2. Como mostrado no exemplo abaixo, adicione uma seção identityServiceOptions ao manifesto ClientConfig para especificar a configuração do utilitário de diagnóstico:

   apiVersion: authentication.gke.io/v2alpha1
     kind: ClientConfig
     metadata:
       name: default
       namespace: kube-public
     spec:
       identityServiceOptions:
         diagnosticInterface:
           enabled: true
           expirationTime: TIMESTAMP
       authentication:
       - name: oidc
         oidc:
           clientID: example-client-id
           clientSecret: example-client-secret
           cloudConsoleRedirectURI: https://console.cloud.google.com/kubernetes/oidc
           extraParams: prompt=consent, access_type=offline
           issuerURI: https://example.com
           kubectlRedirectURI: http://localhost:PORT/callback
           scopes: openid,email,offline_access
           userClaim: email
   

   Substitua TIMESTAMP por um horário de expiração no formato RFC 3339. Por exemplo, 2025-05-01T17:05:00Z. O tempo de expiração determina quando o recurso do utilitário de diagnóstico é desativado automaticamente. Como o utilitário de diagnóstico está disponível para qualquer pessoa com acesso ao cluster, definir o tempo de expiração adequadamente ajuda a garantir que o utilitário não permaneça ativado por mais tempo do que o necessário. Ao definir o prazo de validade, é recomendável definir 12 horas no futuro, embora qualquer horário no futuro seja válido.

3. Salve as alterações e saia do editor de texto para aplicar o manifesto ao cluster.

Usar o utilitário de diagnóstico para simular um login

Depois que o utilitário de diagnóstico for ativado, você poderá simular um evento de login e receber as informações de diagnóstico correspondentes que podem ser usadas para resolver problemas com um provedor específico.

1. Abra a página de diagnóstico em um navegador acessando o seguinte URL:

   APISERVER-URL/diagnose
   

   Substitua APISERVER_URL pelo nome de domínio totalmente qualificado (FQDN) do cluster. Por exemplo, https://apiserver.example.com.

   A página de diagnóstico mostra uma lista de provedores OIDC configurados para seu cluster.

2. Selecione o provedor que você quer resolver.

3. Faça login normalmente.

   Ao final do processo de login, o utilitário mostra uma página com informações de diagnóstico que podem ajudar a resolver problemas.

Usar a página de diagnóstico para resolver problemas de login

A página de diagnóstico fornece um resumo de autenticação, que é dividido em três seções:

• Status: contém Success ou Failed, dependendo se a autenticação foi bem-sucedida ou não.

• Provedor de identidade: contém detalhes, como Name, Client ID e UserClaim, sobre o provedor usado para fazer login.

• Token de ID: contém informações sobre o token de ID buscado pelo serviço de identidade do GKE usando o provedor fornecido. O token de ID é um objeto JSON que contém um conjunto de pares de chave-valor. As chaves podem incluir iss, aud, sub e email.

Resolver problemas de sucesso da autenticação

Se o conteúdo da seção Status indicar que a autenticação foi concluída e você ainda estiver com problemas, a ausência de controles de acesso baseados em função (RBACs) pode ser a causa. Para mais informações sobre solução de problemas, consulte RBACs para grupos que não funcionam com provedores OIDC para mais soluções.

Resolver falhas de autenticação

Se o conteúdo da seção Status indicar que a autenticação falhou, comece procurando inconsistências entre as seções Provedor de identidade e Token de ID.

Confira alguns requisitos de autenticação que você precisa verificar:

• Se o campo UserClaim em Provedor de identidade estiver vazio, a seção ID Token precisará conter um campo chamado sub. Um campo sub ausente é uma indicação de que há um problema com o token de ID.

• O valor do campo UserClaim em Provedor de identidade precisa ser uma chave na seção Token de ID. Por exemplo, se o campo UserClaim estiver definido como email, será necessário ter um campo chamado email no ID Token.

• O valor do campo GroupsClaim no provedor de identidade precisa ser uma chave no token de ID. Por exemplo, se o campo GroupsClaim estiver definido como groupsList (para um provedor compatível com grupos), será necessário ter um campo chamado groupsList em Token de ID.

• O valor do campo Client ID no provedor de identidade precisa estar contido no valor do campo aud na seção token de ID.

Se alguma das condições anteriores não for atendida, consulte um dos guias a seguir para mais detalhes sobre como configurar corretamente seus clusters com o GKE Identity Service:

• Se você configurar o GKE Identity Service para clusters individuais, consulte as instruções para configurar clusters individuais.

• Se você configurar o GKE Identity Service no nível da frota, consulte as instruções para configurar uma frota de clusters.

Usar registros para resolver outros problemas

Os registros do pod do Serviço de identidade do GKE contêm outras informações de depuração. Para usar os registros do pod do serviço de identidade do GKE:

1. Ative o registro de depuração do GKE Identity Service.

2. Confira o registro de contêiner do GKE Identity Service.