GKE Identity Service 總覽
GKE Identity Service 是一項驗證服務,可與現有的身分識別解決方案整合,讓您在多個 GKE Enterprise 環境中使用這些身分識別解決方案。使用者可以透過現有的身分識別供應商,從指令列或 Google Cloud 控制台存取及管理 GKE 叢集。
如果您偏好使用 Google ID 登入 GKE 叢集,而非識別資訊提供者,請參閱「透過 Connect 閘道連線至已註冊的叢集」。
支援的識別資訊提供者
使用者嘗試存取資源或服務時,GKE Identity Service 支援下列身分識別提供者通訊協定,可驗證及驗證使用者:
- OpenID Connect (OIDC):OIDC 是以 OAuth 2.0 授權架構為基礎建構的現代輕量型驗證通訊協定。我們提供部分熱門 OpenID Connect 提供者 (包括 Microsoft) 的設定具體操作說明,但您可以使用任何實作 OIDC 的提供者。
- 安全宣告標記語言 (SAML):SAML 是一種以 XML 為基礎的標準,用於在各方之間交換驗證和授權資料,主要是在識別資訊提供者 (IdP) 和服務供應商 (SP) 之間交換。您可以使用 GKE Identity Service,透過 SAML 進行驗證。
- 輕量型目錄存取通訊協定 (LDAP):LDAP 是成熟的標準化通訊協定,可存取及管理目錄資訊服務。這類伺服器通常用於儲存及擷取使用者資訊,例如使用者名稱、密碼和群組成員資格。您可以使用 GKE Identity Service,透過 LDAP 搭配 Active Directory 或 LDAP 伺服器進行驗證。
支援的叢集類型
| 通訊協定 | GDC (VMware) | GDC (裸機) | GKE on AWS | GKE on Azure | EKS 附加叢集 | GKE on Google Cloud |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
GKE Identity Service 不支援其他附加叢集類型。
設定程序
為叢集設定 GKE Identity Service 時,需要下列使用者和程序步驟:
- 設定提供者:平台管理員會向偏好的身分識別提供者註冊 GKE Identity Service 做為用戶端應用程式,並取得用戶端 ID 和密鑰。
- 設定個別叢集或設定機群:叢集管理員會為身分識別服務設定叢集。您可以為 AWS 和 Azure 上的 GKE 叢集,以及內部部署的 GKE 叢集 (VMware 和裸機) 逐一設定 GKE Identity Service。或者,您也可以選擇為機群設定 GKE Identity Service。機群是叢集的邏輯群組,可讓您在這些叢集中啟用功能及更新設定。
- 設定使用者存取權: 叢集管理員會設定使用者登入存取權,以便透過完整網域名稱存取 (建議) 或檔案存取方式驗證叢集,並視需要為這些叢集的使用者設定 Kubernetes 角色型存取權控管 (RBAC)。