GKE Identity Service – Übersicht
GKE Identity Service ist ein Authentifizierungsdienst, der sich in Ihre vorhandenen Identitätslösungen einbinden lässt. So können Sie diese Identitätslösungen über mehrere GKE Enterprise-Umgebungen hinweg verwenden. Nutzer können über die Befehlszeile oder die Google Cloud Console auf Ihre GKE-Cluster zugreifen und diese verwalten, indem Sie Ihren vorhandenen Identitätsanbieter verwenden.
Wenn Sie sich lieber mit Google-IDs bei Ihren GKE-Clustern anmelden möchten, anstatt einen Identitätsanbieter zu verwenden, lesen Sie den Abschnitt Mit Gateway Connect eine Verbindung zu registrierten Clustern herstellen.
Unterstützte Identitätsanbieter
GKE Identity Service unterstützt die folgenden Identitätsanbieterprotokolle, um Nutzer zu überprüfen und zu authentifizieren, wenn sie versuchen, auf Ressourcen oder Dienste zuzugreifen:
- OpenID Connect (OIDC): OIDC ist ein modernes, schlankes Authentifizierungsprotokoll, das auf dem OAuth 2.0-Autorisierungsframework basiert. Für einige bekannte OpenID Connect-Anbieter, darunter Microsoft, werden spezifische Informationen zur Einrichtung bereitgestellt. Sie können aber auch einen beliebigen Anbieter verwenden, der OIDC implementiert.
- Security Assertion Markup Language (SAML): SAML ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, hauptsächlich zwischen einem Identitätsanbieter (Identity Provider, IdP) und einem Dienstanbieter (Service Provider, SP). Sie können GKE Identity Service verwenden, um sich mit SAML zu authentifizieren.
- Lightweight Directory Access Protocol (LDAP): LDAP ist ein ausgereiftes, standardisiertes Protokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationsdiensten. Es wird häufig zum Speichern und Abrufen von Nutzerinformationen wie Nutzernamen, Passwörtern und Gruppenmitgliedschaften verwendet. Sie können GKE Identity Service verwenden, um sich mit LDAP bei Active Directory oder einem LDAP-Server zu authentifizieren.
Unterstützte Clustertypen
| Protokoll | GDC (VMware) | GDC (Bare Metal) | GKE on AWS | GKE on Azure | Mit EKS verknüpfte Cluster | GKE in Google Cloud |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Andere angehängte Clustertypen werden für die Verwendung mit GKE Identity Service nicht unterstützt.
Einrichtung
Das Einrichten von GKE Identity Service für Ihre Cluster umfasst die folgenden Nutzer und Schritte:
- Anbieter konfigurieren Der Plattformadministrator registriert GKE Identity Service als Clientanwendung bei seinem bevorzugten Identitätsanbieter und erhält eine Client-ID und ein Secret.
- Einzelne Cluster einrichten oder Flotte einrichten: Der Clusteradministrator richtet Cluster für Ihren Identitätsdienst ein. Sie können GKE Identity Service auf Clusterbasis für GKE-Cluster lokal (sowohl VMware als auch Bare-Metal) auf AWS und auf Azure einrichten. Alternativ können Sie GKE Identity Service für eine Flotte einrichten. Eine Flotte ist eine logische Gruppe von Clustern, mit der Sie Funktionen aktivieren und die Konfiguration in diesen Clustern aktualisieren können.
- Nutzerzugriff einrichten: Der Clusteradministrator richtet den Nutzeranmeldezugriff ein, um sich über den FQDN-Zugriff (empfohlen) oder den dateibasierten Zugriff bei den Clustern zu authentifizieren. Optional konfiguriert er die rollenbasierte Kubernetes-Zugriffssteuerung (Role-Based Access Control, RBAC) für Nutzer in diesen Clustern.