Halaman ini diterjemahkan oleh Cloud Translation API.

Menyiapkan metode autentikasi untuk akses pengguna

Dokumen ini ditujukan untuk administrator cluster yang telah mengonfigurasi cluster mereka untuk GKE Identity Service. Panduan ini berisi petunjuk cara menyiapkan dan mengelola akses pengguna ke cluster yang dikonfigurasi ini untuk developer organisasi Anda dan pengguna lainnya.

Ada dua jenis metode autentikasi yang dapat digunakan untuk menyiapkan akses pengguna ke cluster Anda:

Siapkan dengan akses FQDN (Direkomendasikan): Dengan pendekatan ini, pengguna dapat langsung melakukan autentikasi ke server GKE Identity Service menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server Kubernetes API cluster. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan akses FQDN.
Menyiapkan dengan akses berbasis file: Dengan pendekatan ini, Anda akan membuat file konfigurasi login dan mendistribusikannya kepada cluster pengguna. Selanjutnya, pengguna dapat login ke cluster yang dikonfigurasi dengan perintah autentikasi gcloud menggunakan file ini. Untuk informasi selengkapnya, lihat Menyiapkan akses berbasis file.

Menyiapkan akses FQDN (Direkomendasikan)

Bagian ini memberi tahu Anda cara menyiapkan akses login pengguna dengan memberikan URL (FQDN) kepada pengguna agar digunakan server untuk autentikasi. Alur autentikasi memungkinkan pengguna login dengan IdP dan memberi pengguna token yang ditambahkan ke file kubeconfig untuk mengakses cluster. Pendekatan autentikasi ini hanya didukung untuk cluster lokal (Google Distributed Cloud) di VMware dan bare metal, mulai versi 1.29 dan seterusnya. Jenis cluster lainnya tidak didukung. Jika Anda perlu menyiapkan autentikasi untuk cluster lokal menggunakan versi software lama yang didukung, atau untuk jenis cluster lainnya, ikuti petunjuk untuk menyiapkan akses berbasis file.

Sebelum membagikan FQDN kepada pengguna, pastikan Anda atau administrator platform Anda telah mengikuti setup yang sesuai, termasuk penyiapan DNS untuk FQDN dan memberikan FQDN sebagai bagian dari pendaftaran ke penyedia identitas Anda, jika diperlukan.

Bagikan FQDN dengan pengguna

Sebagai ganti file konfigurasi, administrator cluster dapat membagikan FQDN server Kubernetes API cluster dengan pengguna. Pengguna dapat menggunakan FQDN ini untuk login ke cluster. Format URL untuk login adalah APISERVER-URL, dengan URL berisi FQDN server API.

Contoh format APISERVER-URL adalah https://apiserver.company.com.

Mengonfigurasi opsi Layanan Identitas

Dengan opsi penyiapan ini, Anda dapat mengonfigurasi durasi masa aktif token. IdentityServiceOptions di CR ClientConfig memiliki parameter sessionDuration yang memungkinkan Anda mengonfigurasi masa aktif token (dalam menit). Parameter sessionDuration memiliki batas bawah 15 menit dan batas maksimum 1440 menit (24 jam).

Berikut ini contoh tampilannya di CR ClientConfig:

spec:
    IdentityServiceOptions:
      sessionDuration: INT

dengan INT adalah durasi sesi dalam menit.

Menyiapkan akses berbasis file

Sebagai alternatif untuk akses FQDN, administrator cluster dapat membuat file konfigurasi login dan mendistribusikannya ke pengguna cluster. Anda dapat menggunakan opsi ini jika menyiapkan autentikasi ke cluster dengan versi atau jenis yang tidak mendukung akses FQDN. File ini memungkinkan pengguna mengakses cluster dari command line dengan penyedia yang dipilih. Pendekatan autentikasi ini hanya didukung untuk penyedia OIDC dan LDAP.

Membuat konfigurasi login

Konsol

(Khusus Penyiapan tingkat perangkat)

Salin perintah gcloud yang ditampilkan dan jalankan untuk menghasilkan file.

gcloud

Jika Anda mengonfigurasi cluster menggunakan CLI gcloud, atau jika perlu membuat file lagi, jalankan perintah berikut untuk membuat file:

gcloud anthos create-login-config --kubeconfig=KUBECONFIG

dengan KUBECONFIG merupakan jalur ke file kubeconfig untuk cluster tersebut. Jika ada beberapa konteks dalam kubeconfig, konteks saat ini akan digunakan. Anda mungkin perlu mereset konteks saat ini ke cluster yang benar sebelum menjalankan perintah.

Anda dapat melihat detail referensi lengkap untuk perintah ini, termasuk parameter opsional tambahan, di panduan referensi Google Cloud CLI.

Nama default untuk file konfigurasi login adalah kubectl-anthos-config.yaml, yang merupakan nama yang diharapkan Google Cloud CLI saat menggunakan file untuk login. Jika Anda ingin mengubahnya ke nama non-default, lihat bagian yang relevan pada Mendistribusikan konfigurasi login.

Untuk memecahkan masalah terkait akses pengguna, lihat Memecahkan masalah akses pengguna.

Mendistribusikan konfigurasi login

Berikut adalah beberapa cara untuk mendistribusikan file konfigurasi:

Hosting file di URL yang dapat diakses. Pengguna dapat menentukan lokasi ini dengan flag --login-config saat menjalankan gcloud anthos auth login, sehingga Google Cloud CLI bisa mendapatkan file tersebut.

Pertimbangkan untuk menghosting file pada host yang aman. Lihat flag --login-config-cert gcloud CLI untuk mengetahui informasi lebih lanjut tentang penggunaan sertifikat PEM untuk akses HTTPS yang aman.
Menyediakan file secara manual kepada setiap pengguna, beserta informasi tempat menyimpannya di komputer lokal. Google Cloud CLI mengharapkan menemukan file di lokasi default khusus OS. Jika file memiliki nama atau lokasi non-default, pengguna harus menggunakan flag --login-config untuk menentukan lokasi file konfigurasi saat menjalankan perintah pada cluster. Petunjuk bagi pengguna untuk menyimpan file ada di Cluster akses dengan GKE Identity Service.
Gunakan alat internal Anda untuk mengirim file konfigurasi autentikasi ke setiap komputer pengguna. Google Cloud CLI akan menemukan file di lokasi berikut, bergantung pada OS pengguna:
Linux
```
$HOME/.config/google/anthos/kubectl-anthos-config.yaml
```
macOS
```
$HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml
```
Windows
```
%APPDATA%\google\anthos\kubectl-anthos-config.yaml
```