O produto descrito nesta documentação, GKE no Azure, agora está em modo de manutenção e será encerrado em 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Crie uma aplicação do Azure Active Directory

Nesta secção, cria uma aplicação do Azure Active Directory (Azure AD) e objetos principais de serviço. O GKE no Azure usa estes objetos para armazenar informações de configuração no Azure.

Para criar a aplicação do Azure AD, execute o seguinte comando:
```
az ad app create --display-name APPLICATION_NAME
```
Substitua APPLICATION_NAME por um nome para a sua aplicação, por exemplo, anthos-clusters.
Para guardar o ID da aplicação numa variável de ambiente para utilização posterior, execute o seguinte comando:
```
APPLICATION_ID=$(az ad app list --all \
 --query "[?displayName=='APPLICATION_NAME'].appId" \
 --output tsv)
```
Substitua APPLICATION_NAME pelo nome da sua aplicação.
Para criar um principal de serviço para a aplicação, execute o seguinte comando:
```
az ad sp create --id "${APPLICATION_ID}"
```

Configure a federação de identidades de cargas de trabalho

A federação de identidades da carga de trabalho permite que o GKE no Azure se autentique no Azure através de uma conta de serviço Google. Este método de autenticação no Azure é mais simples do que o método de autenticação AzureClient antigo, que requer que faça a gestão dos certificados e os carregue manualmente para o Azure Active Directory (AD).

Para configurar uma credencial de identidade federada na sua aplicação do Azure AD, execute os seguintes comandos. Tenha em atenção que pode adicionar até 20 credenciais a cada aplicação do Azure AD.

Crie um ficheiro JSON denominado credential.json.

{
  "name": "CREDENTIAL_NAME",
  "issuer": "https://accounts.google.com",
  "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com",
  "audiences": ["api://AzureADTokenExchange"],
  "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account."
}

CREDENTIAL_NAME: o nome da credencial.
PROJECT_NUMBER: o número do projeto que aloja o cluster. Google Cloud

Crie uma credencial de identidade federada na aplicação do Azure AD:

az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json

Para mais detalhes, consulte a documentação do Azure Federação de identidades de cargas de trabalho do Azure AD com o Google Cloud.

Também pode aprovisionar a credencial de identidade federada do Azure através do Terraform. Para ver detalhes, consulte azuread_application_federated_identity_credential.

O que se segue?

Crie atribuições de funções do Azure