使用 Google 網路論壇設定 Connect Gateway

本指南適用於平台管理員,他們需要使用 Google 群組授權,為專案的使用者帳戶設定 Connect 閘道。閱讀本頁面之前,請先熟悉總覽中的概念。如要授權個別帳戶,請參閱預設設定

完成這項設定後,使用者就能透過 Google Cloud CLI、Connect 閘道和 Google Cloud 控制台登入已設定的車隊叢集。

這項功能會使用與 Google Workspace 或任何版本的 Cloud Identity 相關聯的 Google 群組。

支援的叢集類型

如果您在 Google Cloud 使用 GKE 叢集和 Connect 閘道,則不需要透過 GKE Identity Service 完成這項設定,即可使用 Google 群組進行授權。請改為按照「設定要與 RBAC 搭配使用的 Google 網路論壇」一文中的操作說明進行設定,這樣使用者就能透過 Google 網路論壇控管存取權,並從 Google Cloud 控制台登入 GKE 叢集。完成後,請按照下方的「將 IAM 角色授予 Google 群組」操作說明,允許群組成員透過 Connect 閘道存取叢集。

您可以透過 Connect Gateway,使用 Google 群組為下列叢集類型設定存取控管機制:

  • 已註冊的 GKE 叢集
  • Google Distributed Cloud (內部部署) 部署中的叢集 (VMwareBare Metal),適用於 Anthos (GKE Enterprise) 1.13 以上版本
  • GKE on AWSGKE on Azure (Kubernetes 1.25 版以上)。
  • 版本 1.26.0-gke.8、1.27.0-gke.5、1.28.0-gke.2 以上的連結叢集

    如要使用這項功能,您可能需要升級地端叢集。如需相關說明,請參閱「升級 VMware 叢集」和「升級裸機叢集」。

如要在本節未列出的環境中使用這項功能,請與 Cloud Customer Care連線閘道團隊聯絡。

運作方式

總覽所述,根據使用者是否為 Google 群組 (也就是在 Google Workspace 中建立的群組) 成員,授予使用者叢集存取權通常很有用。根據群組成員資格授權,表示您不必為每個帳戶分別設定授權,因此政策管理和稽核作業會更簡單。舉例來說,您可以輕鬆與團隊共用叢集存取權,當有人加入或離開團隊時,不必再手動新增/移除叢集中的個別使用者。使用 GKE Identity Service 進行額外設定後,您就能設定 Connect 閘道,為登入叢集的每位使用者取得 Google 群組成員資訊。接著,您可以在存取控制政策中使用這項群組資訊。

下圖顯示使用者向啟用這項服務的叢集進行驗證,並對該叢集執行指令的典型流程。如要順利完成這項流程,叢集必須有群組的 RBAC 政策,且該群組:

  1. 包含使用者 alice@example.com 做為成員。

  2. gke-security-groups@example.com 的巢狀群組。

示意圖:顯示閘道 Google 網路論壇流程

  1. 使用者 alice@example.com 透過 Google 身分登入,並視需要取得叢集的閘道 kubeconfig (如「使用 Connect 閘道」一文所述),以便從指令列使用叢集。
  2. 使用者執行 kubectl 指令,或在 Google Cloud 控制台中開啟 Google Kubernetes Engine 的「工作負載」或「物件瀏覽器」頁面,藉此傳送要求。
  3. Connect 服務會收到要求,並透過 IAM 執行授權檢查。
  4. Connect 服務會將要求轉送至叢集上執行的 Connect Agent。要求會附上使用者的憑證資訊,供叢集進行驗證和授權。
  5. Connect Agent 會將要求轉送至 Kubernetes API 伺服器。
  6. Kubernetes API 伺服器會將要求轉送至 GKE Identity Service,後者會驗證要求。
  7. GKE Identity Service 會將使用者和群組資訊傳回 Kubernetes API 伺服器。Kubernetes API 伺服器隨後可根據叢集設定的 RBAC 政策,使用這項資訊授權要求。

事前準備

  • 確認您已安裝下列指令列工具:

    • 最新版 Google Cloud CLI,這是與 Google Cloud互動的指令列工具。
    • Kubernetes 指令列工具 kubectl,用於與叢集互動。

    如果您使用 Cloud Shell 做為與 Google Cloud互動的 Shell 環境,系統會為您安裝這些工具。

  • 確認您已初始化 gcloud CLI,以便搭配專案使用。

  • 本指南假設您專案中已有 roles/owner。如果您不是專案擁有者,可能需要額外權限才能執行部分設定步驟。

  • 如果是外部叢集 Google Cloud,GKE Identity Service 必須從叢集呼叫 Google Identity API。檢查網路政策是否規定輸出流量必須通過 Proxy。

設定使用者和群組

請確認要搭配這項功能使用的群組符合下列設定:

  1. 請確認貴機構的 Google Workspace 中有格式為 gke-security-groups@YOUR-DOMAIN 的群組。如果沒有這類群組,請按照「在機構中建立群組」一文中的操作說明,使用 Google Workspace 管理控制台建立群組。
  2. 按照「將群組新增到其他群組中」一文中的操作說明,將要用於存取權控管的群組新增為 gke-security-groups 的巢狀群組。請勿將個別使用者新增為 gke-security-groups 的成員。

如要搭配這項功能使用使用者帳戶,帳戶的網域名稱必須與群組的網域名稱相同。

啟用 API

如要將閘道新增至專案,請啟用 Connect 閘道 API 和必要的依附元件 API。如果使用者只想透過控制台 Google Cloud 驗證叢集,則不需要啟用 connectgateway.googleapis.com,但必須啟用其餘 API。

PROJECT_ID=example_project
gcloud services enable --project=${PROJECT_ID}  \
connectgateway.googleapis.com \
anthos.googleapis.com \
gkeconnect.googleapis.com \
gkehub.googleapis.com \
cloudresourcemanager.googleapis.com

設定 GKE Identity Service

Connect 閘道的 Google 群組支援功能會使用 GKE Identity Service,從 Google 取得群組成員資訊。如要進一步瞭解 GKE Identity Service,請參閱「GKE Identity Service 簡介」。

如果您使用閘道搭配 GKE 叢集,則需要設定 GKE Identity Service,即可使用 Google 群組支援功能。請改為按照「設定要與 RBAC 搭配使用的 Google 網路論壇」一文中的指示操作,然後繼續授予 IAM 角色,透過閘道授予叢集存取權。

如果您使用GKE 連結的叢集和閘道,則不需要 GKE Identity Service 即可支援 Google 群組。請按照所選叢集類型的操作說明,設定 Google 網路論壇支援服務:

確認已安裝 GKE Identity Service

從 1.7 版開始,GKE 叢集預設會安裝 GKE Identity Service (但 Google 群組支援功能需要 1.13 以上版本)。執行下列指令,確認已在叢集上正確安裝:

kubectl --kubeconfig CLUSTER_KUBECONFIG get all -n anthos-identity-service

CLUSTER_KUBECONFIG 替換為叢集的 kubeconfig 路徑。

設定 Google 網路論壇支援

如果您使用 GKE on AWS 或 GKE on Azure,系統會自動設定叢集以支援 Google 群組,您可以跳至「將 IAM 角色授予 Google 群組」。

如果您在 VMware 或裸機上使用 Google Distributed Cloud,設定 GKE Identity Service 的方式會決定 Google 群組功能的設定方式。

如果您是第一次使用 GKE Identity Service,可以選擇在「Fleet」層級設定 Google 群組 (建議做法),或是為每個叢集設定

如果您不是第一次使用 GKE Identity Service,請注意下列事項:

  • 如果您已在機群層級為其他識別資訊提供者設定 GKE Identity Service,系統會預設為您啟用 Google 群組功能。詳情請參閱下方的「車隊」一節,瞭解可能需要的其他設定。
  • 如果您已為其他身分識別提供者設定 GKE Identity Service (以叢集為單位),請參閱下方的「以叢集為單位」一節,瞭解如何更新 Google 群組功能的設定。

機群

您可以使用 Google Cloud 主控台或指令列,在車隊層級設定 Google 群組的存取權。

如果您已使用其他身分識別提供者 (例如 Microsoft AD FS 或 Okta) 在車隊層級設定 GKE Identity Service,系統預設會在已設定的叢集上啟用 Connect 閘道 Google 群組功能,前提是 Google 身分識別提供者可連線,不需要使用 Proxy。

控制台

如果先前未曾為車隊設定 GKE Identity Service,請按照「設定 GKE Identity Service 的叢集」一文中的操作說明進行。

選取叢集並更新設定

  1. 前往 Google Cloud 控制台的「Feature Manager」頁面。

前往功能管理工具

  1. 在「身分識別服務」面板中,按一下「詳細資料」。系統會顯示專案的叢集詳細資料。
  2. 按一下「更新身分識別服務」,開啟設定窗格。
  3. 選取要設定的叢集。您可以選擇個別叢集,也可以指定要為所有叢集設定相同的身分識別設定。
  4. 在「設定身分識別提供者」部分,您可以選擇保留、新增、更新或移除身分識別提供者。
  5. 點選「繼續」前往下一個設定步驟。如果您已為這項設定選取至少一個符合資格的叢集,系統會顯示「Google 驗證」部分。
  6. 選取「啟用」,為所選叢集啟用 Google 驗證。如要透過 Proxy 存取 Google 身份識別資訊提供者,請輸入「Proxy」詳細資料。
  7. 按一下「更新設定」。這會將身分識別設定套用至所選叢集。

gcloud

如果您先前未曾為車隊設定 GKE Identity Service,請按照「設定 GKE Identity Service 的叢集」的指示操作。在 auth-config.yaml 檔案中只指定下列設定:

spec:
  authentication:
  - name: google-authentication-method
    google:
      disable: false

使用 Proxy 設定 Google 網路論壇存取權

如需透過 Proxy 存取 Google 識別資訊提供者,請在 auth-config.yaml 檔案中使用 proxy 欄位。舉例來說,如果叢集位於私人網路中,且需要連線至公開身分識別提供者,您可能就需要設定這項屬性。即使您已為其他供應商設定 GKE Identity Service,也必須新增這項設定。

如要設定 proxy,請按照下列步驟更新現有設定檔 auth-config.yamlauthentication 區段。

  spec:
    authentication:
    - name: google-authentication-method
      google:
        disable: false
      proxy: PROXY_URL

其中

  • disable (選用) 表示是否要為叢集啟用或停用 Google 網路論壇功能。 根據預設,這個值會設為 false。如要停用這項功能,請將這項政策設為 true

  • PROXY_URL (選用) 是要連線至 Google 身分的 Proxy 伺服器位址。 例如:http://user:password@10.10.10.10:8888

套用設定

如要將設定套用至叢集,請執行下列指令:

gcloud container fleet identity-service apply \
--membership=CLUSTER_NAME \
--config=/path/to/auth-config.yaml

其中

CLUSTER_NAME 是叢集在機群中的專屬成員名稱。

套用後,這項設定會由 GKE Identity Service 控制器管理。控制器會將對 GKE Identity Service 用戶端設定所做的任何本機變更,與此設定中指定的設定進行比對。

每個叢集

如要設定叢集以使用 GKE Identity Service 的 Google 群組功能,請更新叢集的 GKE Identity Service ClientConfig。這是用於叢集設定的 Kubernetes 自訂資源類型 (CRD)。每個 GKE Enterprise 叢集都有一個名為 defaultClientConfig 資源,位於 kube-public 命名空間中,您可使用設定詳細資料更新該資源。

如要編輯設定,請使用下列指令。

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG -n kube-public edit clientconfig default

其中 USER_CLUSTER_KUBECONFIG 是叢集 kubeconfig 檔案的路徑。

如果 kubeconfig 中有多個環境,系統會使用目前的環境。 您可能需要將目前的背景資訊重設為正確的叢集,才能執行指令。

以下範例說明如何使用設定類型為 google 的新驗證方法更新 ClientConfig,以啟用 Google 網路論壇功能。如果 internalServer 欄位空白,請確認已設為 https://kubernetes.default.svc,如下所示。

spec:
  authentication:
  - google:
      audiences:
      - "CLUSTER_IDENTIFIER"
    name: google-authentication-method
    proxy: PROXY_URL
  internalServer: https://kubernetes.default.svc

其中

CLUSTER_IDENTIFIER (必要) 表示叢集的成員詳細資料。 您可以使用下列指令擷取叢集的成員資格詳細資料:

kubectl --kubeconfig USER_CLUSTER_KUBECONFIG get memberships membership -o yaml

其中

USER_CLUSTER_KUBECONFIG 是叢集 kubeconfig 檔案的路徑。在回應中,請參閱 spec.owner.id 欄位,擷取叢集的成員資格詳細資料。

以下是顯示叢集成員詳細資料的回覆範例:

id: //gkehub.googleapis.com/projects/123456789/locations/global/memberships/xy-ab12cd34ef

對應的格式如下: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/MEMBERSHIP

將 IAM 角色授予 Google 群組

如要透過閘道與已連線的叢集互動,群組需要下列額外 Google Cloud 角色:

  • roles/gkehub.gatewayAdmin。這個角色可讓群組成員存取 Connect 閘道 API。
    • 如果群組成員只需要連線叢集的唯讀存取權,則可改用 roles/gkehub.gatewayReader
    • 如果群組成員需要連線叢集的讀取/寫入權限,請改用 roles/gkehub.gatewayEditor
  • roles/gkehub.viewer。這個角色可讓群組成員查看已註冊的叢集成員資格。

您可以使用 gcloud projects add-iam-policy-binding 指令授予這些角色,如下所示:

gcloud projects add-iam-policy-binding --member=group:GROUP_NAME@DOMAIN --role=GATEWAY_ROLE PROJECT_ID
gcloud projects add-iam-policy-binding --member=group:GROUP_NAME@DOMAIN --role=roles/gkehub.viewer PROJECT_ID

其中

  • GROUP_NAME 是要授予角色的 Google 群組
  • DOMAIN 是您的 Google Workspace 網域
  • GROUP_NAME@DOMAINgke-security-groups@DOMAIN 的巢狀群組
  • GATEWAY_ROLEroles/gkehub.gatewayAdminroles/gkehub.gatewayReadergkehub.gatewayEditor
  • PROJECT_ID 是您的專案

如要進一步瞭解如何授予 IAM 權限和角色,請參閱「授予、變更及撤銷資源的存取權」。

設定角色型存取權控管 (RBAC) 政策

最後,每個叢集的 Kubernetes API 伺服器都必須能夠授權來自指定群組的 kubectl 指令 (透過閘道)。您必須為每個叢集新增 RBAC 權限政策,指定群組在叢集中的權限。

在下列範例中,您會看到如何授予 cluster-admin-team 群組成員 cluster-admin 叢集權限、將政策檔案儲存為 /tmp/admin-permission.yaml,並將其套用至與目前環境相關聯的叢集。請務必在 gke-security-groups 群組下加入 cluster-admin-team 群組。

cat <<EOF > /tmp/admin-permission.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: gateway-cluster-admin-group
subjects:
- kind: Group
  name: cluster-admin-team@example.com
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
EOF
# Apply permission policy to the cluster.
kubectl apply --kubeconfig=KUBECONFIG_PATH -f /tmp/admin-permission.yaml

如要進一步瞭解如何指定 RBAC 權限,請參閱「使用 RBAC 授權」。

後續步驟