Mengelola identitas dengan Identity Service GKE

GKE di AWS mendukung OpenID Connect (OIDC) dan AWS IAM sebagai mekanisme autentikasi untuk berinteraksi dengan server Kubernetes API cluster, menggunakan Layanan Identitas GKE. GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda membawa solusi identitas yang sudah ada untuk autentikasi ke berbagai lingkungan. Pengguna dapat login dan menggunakan cluster GKE Anda dari command line atau dari konsolGoogle Cloud , semuanya menggunakan penyedia identitas Anda yang sudah ada.

Untuk mengetahui ringkasan cara kerja GKE Identity Service, lihat Memperkenalkan GKE Identity Service.

Jika Anda sudah menggunakan atau ingin menggunakan identitas Google untuk login ke cluster GKE, sebaiknya gunakan perintah gcloud containers aws clusters get-credentials untuk autentikasi. Cari tahu selengkapnya di Menghubungkan dan mengautentikasi ke cluster Anda.

Autentikasi OpenID Connect

Sebelum memulai

  1. Untuk menggunakan autentikasi OIDC, pengguna harus dapat terhubung ke bidang kontrol cluster. Lihat Menghubungkan ke bidang kontrol cluster Anda.

  2. Untuk melakukan autentikasi melalui konsol Google Cloud , Anda harus mendaftarkan setiap cluster yang ingin dikonfigurasi dengan fleet project Anda. Untuk GKE di AWS, hal ini otomatis setelah Anda membuat node pool.

  3. Untuk mengizinkan pengguna melakukan autentikasi melalui konsol Google Cloud , pastikan semua cluster yang ingin Anda konfigurasi terdaftar di fleet project Anda. Untuk GKE di AWS, hal ini otomatis setelah Anda membuat node pool.

Proses dan opsi penyiapan

  1. Daftarkan GKE Identity Service sebagai klien dengan penyedia OIDC Anda dengan mengikuti petunjuk di Mengonfigurasi penyedia untuk GKE Identity Service.

  2. Pilih dari opsi konfigurasi cluster berikut:

  3. Siapkan akses pengguna ke cluster Anda, termasuk kontrol akses berbasis peran (RBAC), dengan mengikuti petunjuk di Menyiapkan akses pengguna untuk Layanan Identitas GKE.

Mengakses cluster

Setelah GKE Identity Service disiapkan di cluster, pengguna dapat login ke cluster menggunakan command line atau Google Cloud konsol.

Autentikasi AWS IAM

Dukungan AWS IAM di GKE di AWS menggunakan GKE Identity Service.

Sebelum memulai

Untuk menggunakan autentikasi IAM AWS, pengguna harus dapat terhubung ke bidang kontrol cluster. Lihat Menghubungkan ke bidang kontrol cluster Anda.

Proses dan opsi penyiapan

Untuk mengonfigurasi cluster Anda agar mengizinkan autentikasi IAM AWS untuk region AWS tertentu, lakukan hal berikut:

  1. Edit resource ClientConfig di cluster Anda:

    kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public

    Ganti KUBECONFIG_PATH dengan jalur ke file kubeconfig cluster Anda—misalnya $HOME/.kube/config.

    Editor teks Anda memuat resource ClientConfig cluster Anda. Tambahkan objek spec.authentication.aws seperti yang ditunjukkan di bawah. Jangan mengubah data default yang telah ditulis.

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: NAME
    aws:
      region: AWS_REGION

    Ganti kode berikut:

    • NAME: nama arbitrer dari metode autentikasi ini. Misalnya, "aws-iam".
    • AWS_REGION: region AWS tempat info pengguna diambil. Region ini harus cocok dengan region yang dikonfigurasi di AWS CLI pengguna Anda.

  2. Agar pengguna cluster Anda dapat menggunakan AWS IAM, ikuti langkah-langkah di bagian Menyiapkan akses pengguna untuk Layanan Identitas GKE.

Mengakses cluster

Setelah GKE Identity Service disiapkan di cluster, pengguna dapat login ke cluster menggunakan command line atau Google Cloud konsol.

Untuk mempelajari cara login ke cluster terdaftar dengan identitas IAM AWS Anda, lihat Mengakses cluster menggunakan Layanan Identitas GKE.