Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare un metodo di autenticazione per l'accesso utente

Questo documento è rivolto agli amministratori dei cluster che hanno già configurato i propri cluster per GKE Identity Service. Fornisce istruzioni su come configurare e gestire l'accesso degli utenti a questi cluster configurati per gli sviluppatori e altri utenti della tua organizzazione.

Esistono due tipi di metodi di autenticazione che puoi utilizzare per configurare l'accesso degli utenti ai tuoi cluster:

Configurazione con accesso FQDN (consigliato): con questo approccio, gli utenti possono autenticarsi direttamente sul server GKE Identity Service utilizzando il nome di dominio completo (FQDN) del server API Kubernetes del cluster. Per ulteriori informazioni, vedi Configurare l'accesso FQDN.
Configurazione con accesso basato su file: con questo approccio, generi un file di configurazione dell'accesso e lo distribuisci agli utenti del cluster. Gli utenti possono quindi accedere ai cluster configurati con i comandi di autenticazione gcloud utilizzando questo file. Per ulteriori informazioni, vedi Configurare l'accesso basato su file.

Configura l'accesso FQDN (consigliato)

Questa sezione spiega come configurare l'accesso di accesso utente fornendo all'utente l'URL (FQDN) da utilizzare per l'autenticazione di un server. Il flusso di autenticazione consente all'utente di accedere con il proprio provider di identità e di fornire un token che viene aggiunto al file kubeconfig per accedere al cluster. Questo approccio di autenticazione è supportato solo per i cluster on-premise (Google Distributed Cloud) su VMware e bare metal, a partire dalla versione 1.29. Non sono supportati altri tipi di cluster. Se devi configurare l'autenticazione per i cluster on-premise che utilizzano una versione software precedente supportata o per altri tipi di cluster, segui le istruzioni per configurare l'accesso basato su file.

Prima di condividere l'FQDN con gli utenti, assicurati che tu o l'amministratore della piattaforma abbia seguito la configurazione appropriata, inclusa la configurazione DNS per l'FQDN e la relativa indicazione durante la registrazione al tuo provider di identità, se necessario.

Condividere l'FQDN con gli utenti

Invece di un file di configurazione, gli amministratori del cluster possono condividere con gli utenti il FQDN del server API Kubernetes del cluster. Gli utenti possono utilizzare questo FQDN per accedere al cluster. Il formato dell'URL per l'accesso èAPISERVER-URL, dove l'URL contiene il FQDN del server API.

Un esempio di formato di un APISERVER-URL è https://apiserver.company.com.

Configurare le opzioni di Identity Service

Con questa opzione di configurazione, puoi impostare la durata del token. IdentityServiceOptions nella richiesta di modifica ClientConfig ha un parametro sessionDuration che consente di configurare la durata del token (in minuti). Il parametro sessionDuration ha un limite inferiore di 15 minuti e un limite massimo di 1440 minuti (24 ore).

Ecco un esempio di come appare nella richiesta di modifica ClientConfig:

spec:
    IdentityServiceOptions:
      sessionDuration: INT

dove INT è la durata della sessione in minuti.

Configurare l'accesso basato sui file

Come alternativa all'accesso tramite FQDN, gli amministratori del cluster possono generare un file di configurazione dell'accesso e distribuirlo agli utenti del cluster. Ti consigliamo di utilizzare questa opzione se stai configurando l'autenticazione in un cluster con una versione o un tipo che non supporta l'accesso FQDN. Questo file consente agli utenti di accedere ai cluster dalla riga di comando con il provider scelto. Questo approccio di autenticazione è supportato solo per i provider OIDC e LDAP.

Genera la configurazione di accesso

Console

(solo configurazione a livello di parco risorse)

Copia il comando gcloud visualizzato ed eseguilo per generare il file.

gcloud

Se hai configurato il cluster utilizzando l'interfaccia a riga di comando gcloud o se devi generare nuovamente il file, esegui il seguente comando per generarlo:

gcloud anthos create-login-config --kubeconfig=KUBECONFIG

dove KUBECONFIG è il percorso del file kubeconfig del cluster. Se in kubeconfig sono presenti più contesti, viene utilizzato il contesto corrente. Prima di eseguire il comando, potrebbe essere necessario reimpostare il contesto corrente sul cluster corretto.

Puoi trovare i dettagli completi di riferimento per questo comando, inclusi parametri facoltativi aggiuntivi, nella guida di riferimento di Google Cloud CLI.

Il nome predefinito del file di configurazione dell'accesso è kubectl-anthos-config.yaml, che è il nome che Google Cloud CLI si aspetta quando utilizza il file per accedere. Se vuoi impostare un nome diverso da quello predefinito, consulta la sezione pertinente in Distribuire la configurazione di accesso.

Per informazioni sulla risoluzione dei problemi relativi all'accesso degli utenti, consulta Risolvere i problemi di accesso degli utenti.

Distribuisci la configurazione di accesso

Di seguito sono riportati alcuni modi per distribuire il file di configurazione:

Ospita il file in un URL accessibile. Gli utenti possono specificare questa posizione con il flag --login-config quando eseguono gcloud anthos auth login, consentendo a Google Cloud CLI di recuperare il file.

Valuta la possibilità di ospitare il file su un host sicuro. Consulta il flag --login-config-cert dell'gcloud CLI per ulteriori informazioni sull'utilizzo dei certificati PEM per l'accesso sicuro tramite HTTPS.
Fornisci manualmente il file a ogni utente, con le informazioni su dove salvarlo sul computer locale. Google Cloud CLI si aspetta di trovare il file in una posizione predefinita specifica per il sistema operativo. Se il file ha un nome o una posizione non predefiniti, gli utenti devono utilizzare il flag --login-config per specificare la posizione del file di configurazione quando eseguono comandi sul cluster. Le istruzioni per salvare il file sono riportate in Accedere ai cluster con GKE Identity Service.
Utilizza i tuoi strumenti interni per eseguire il push del file di configurazione dell'autenticazione sul computer di ogni utente. Google Cloud CLI si aspetta di trovare il file nelle seguenti posizioni, a seconda del sistema operativo dell'utente:
Linux
```
$HOME/.config/google/anthos/kubectl-anthos-config.yaml
```
macOS
```
$HOME/Library/Preferences/google/anthos/kubectl-anthos-config.yaml
```
Windows
```
%APPDATA%\google\anthos\kubectl-anthos-config.yaml
```