準備進行機群層級設定

Google Cloud 中的機群是 Kubernetes 叢集和其他資源的邏輯群組，可透過向 Google Cloud註冊叢集來建立，並統一管理。GKE Identity Service 的機群層級設定以機群的強大功能為基礎，可讓管理員透過偏好的識別資訊提供者，一次為一或多個 GKE 叢集設定驗證機制，而驗證設定則由 GKE Enterprise 維護並儲存在 Google Cloud中。本文適用於想為車隊設定 GKE Identity Service 的叢集管理員或應用程式運算子。

支援的叢集類型

機群層級設定支援下列叢集類型和環境：

• VMware 上的 Google Distributed Cloud (僅限軟體)，版本 1.8.2 以上
• 裸機上的 Google Distributed Cloud (僅限軟體)，版本 1.8.3 以上
• GKE on Azure
• 執行 Kubernetes 1.21 以上版本的 GKE on AWS，
• GKE 叢集 (已啟用 Identity Service for GKE)。 Google Cloud 請按照「適用於 GKE 的 Identity Service」一文說明啟用這項功能，然後為叢集設定驗證。

機群層級設定 (Pre-GA 版) 支援下列叢集類型和環境：

• Amazon Elastic Kubernetes Service (Amazon EKS) 附加叢集

如要進一步瞭解附加叢集，請參閱「GKE 附加叢集」。

其他 GKE Identity Service 支援的叢集類型和環境仍須個別設定叢集。如果您使用舊版 GKE 叢集，或需要使用艦隊層級生命週期管理功能尚未支援的 GKE Identity Service 功能，也可以使用叢集專屬設定。

支援的識別資訊提供者通訊協定

如果您設定艦隊層級的 GKE Identity Service，可以使用支援 OIDC、SAML 或 LDAP 通訊協定的身分識別提供者。

事前準備

• 請確認平台管理員已提供所有必要詳細資料，包括 GKE Identity Service 的用戶端 ID 和密鑰。
• 確認您已安裝下列指令列工具：
  • 最新版 Google Cloud CLI，其中包含 gcloud，這是與 Google Cloud互動的指令列工具。如需安裝 Google Cloud CLI，請參閱安裝指南。
  • kubectl，可對 Kubernetes 叢集執行指令。如需安裝 kubectl，請參閱安裝指南。 如果您使用 Cloud Shell 做為與 Google Cloud互動的 Shell 環境，系統會為您安裝這些工具。
• 請確認您已初始化 gcloud CLI，以便搭配註冊叢集的專案使用。
• 如果您不是專案擁有者，則必須在註冊叢集的專案中具備 GKE Hub 管理員角色，才能完成設定步驟。

設定車隊

備妥所有必要資訊並安裝元件後，即可開始在機群層級設定叢集。