GKE su AWS supporta OpenID Connect (OIDC) e AWS IAM come meccanismo di autenticazione per interagire con il server API Kubernetes di un cluster, utilizzando GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti. Gli utenti possono accedere ai cluster GKE e utilizzarli dalla riga di comando o dalla consoleGoogle Cloud utilizzando il provider di identità esistente.
Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.
Se utilizzi già o vuoi utilizzare le identità Google per accedere ai tuoi cluster GKE, ti consigliamo di utilizzare il comando gcloud containers aws clusters get-credentials per l'autenticazione. Scopri di più in Connessione al cluster e autenticazione.
Autenticazione OpenID Connect
Prima di iniziare
Per utilizzare l'autenticazione OIDC, gli utenti devono essere in grado di connettersi al piano di controllo del cluster. Consulta Connettersi al piano di controllo del cluster.
Per autenticarti tramite la Google Cloud console, devi registrare ogni cluster che vuoi configurare con il parco risorse del tuo progetto. Per GKE su AWS, questa operazione è automatica dopo aver creato un pool di nodi.
Per consentire agli utenti di autenticarsi tramite la Google Cloud console, assicurati che tutti i cluster che vuoi configurare siano registrati nel parco risorse del tuo progetto. Per GKE su AWS, questa operazione è automatica dopo aver creato un pool di nodi.
Procedura e opzioni di configurazione
Registra GKE Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per GKE Identity Service.
Scegli una delle seguenti opzioni di configurazione del cluster:
Configura i cluster a livello di parco risorse seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service a livello di parco risorse. Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.
Configura i cluster singolarmente seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service con OIDC.
Configura l'accesso utente ai tuoi cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso utente per GKE Identity Service.
Accesso ai cluster
Dopo aver configurato GKE Identity Service su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la Google Cloud console.
- Scopri come accedere ai cluster registrati con il tuo ID OIDC in Accedere ai cluster utilizzando GKE Identity Service.
- Scopri come accedere ai cluster dalla Google Cloud console in Accedere a un cluster dalla Google Cloud console.
Autenticazione AWS IAM
Il supporto di AWS IAM su GKE su AWS utilizza GKE Identity Service.
Prima di iniziare
Per utilizzare l'autenticazione IAM AWS, gli utenti devono essere in grado di connettersi al piano di controllo del cluster. Consulta Connettersi al piano di controllo del cluster.
Procedura e opzioni di configurazione
Per configurare il cluster in modo da consentire l'autenticazione AWS IAM per una determinata regione AWS, procedi nel seguente modo:
Modifica la risorsa
ClientConfignel tuo cluster:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-publicSostituisci
KUBECONFIG_PATHcon il percorso del file kubeconfig del tuo cluster, ad esempio$HOME/.kube/config.L'editor di testo carica la risorsa ClientConfig del cluster. Aggiungi l'oggetto
spec.authentication.awscome mostrato di seguito. Non modificare i dati predefiniti già scritti.apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGIONSostituisci quanto segue:
NAME: un nome arbitrario di questo metodo di autenticazione. ad es. "aws-iam".AWS_REGION: la regione AWS in cui vengono recuperate le informazioni sull'utente. Deve corrispondere alla regione configurata nell'interfaccia a riga di comando AWS degli utenti.
Per consentire agli utenti del cluster di utilizzare AWS IAM, segui la procedura descritta in Configurazione dell'accesso degli utenti per GKE Identity Service.
Accesso ai cluster
Dopo aver configurato GKE Identity Service su un cluster, gli utenti possono accedere ai cluster utilizzando la riga di comando o la Google Cloud console.
Per scoprire come accedere ai cluster registrati con la tua identità IAM AWS, consulta Accedere ai cluster utilizzando GKE Identity Service.