Questa documentazione si riferisce alla versione più recente di GKE su Azure, rilasciata a novembre 2021. Consulta le Note di rilascio per ulteriori informazioni.

crea un'applicazione Azure Active Directory

In questa sezione creerai un'applicazione Azure Active Directory (Azure AD) e oggetti entità di servizio. GKE su Azure usa questi oggetti per archiviare le informazioni di configurazione su Azure.

Per creare l'applicazione Azure AD, esegui questo comando:
```
az ad app create --display-name APPLICATION_NAME
```
Sostituisci APPLICATION_NAME con un nome per la tua applicazione, ad esempio anthos-clusters.
Per salvare l'ID dell'applicazione in una variabile di ambiente per un utilizzo futuro, esegui questo comando:
```
APPLICATION_ID=$(az ad app list --all \
 --query "[?displayName=='APPLICATION_NAME'].appId" \
 --output tsv)
```
Sostituisci APPLICATION_NAME con il nome della tua applicazione.
Per creare un'entità di servizio per l'applicazione, esegui questo comando:
```
az ad sp create --id "${APPLICATION_ID}"
```

Configura la federazione delle identità per i carichi di lavoro

La federazione delle identità per i carichi di lavoro consente a GKE su Azure di eseguire l'autenticazione in Azure utilizzando un account di servizio Google. Questo metodo di autenticazione in Azure è più semplice del metodo di autenticazione AzureClient legacy, che richiede la gestione dei certificati e il caricamento manuale su Azure Active Directory (AD).

Per configurare una credenziale di identità federata sull'applicazione Azure AD, esegui questi comandi. Tieni presente che puoi aggiungere fino a venti credenziali a ogni applicazione Azure AD.

Crea un file JSON denominato credential.json.

{
  "name": "CREDENTIAL_NAME",
  "issuer": "https://accounts.google.com",
  "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com",
  "audiences": ["api://AzureADTokenExchange"],
  "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account."
}

CREDENTIAL_NAME: il nome della credenziale.
PROJECT_NUMBER: il numero del progetto Google Cloud che ospita il cluster.

Crea una credenziale di identità federata nell'applicazione Azure AD:

az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json

Per maggiori dettagli, consulta la documentazione di Azure Federazione delle identità per i carichi di lavoro di Azure AD con Google Cloud.

Puoi anche eseguire il provisioning della credenziale dell'identità federata Azure utilizzando Terraform. Per maggiori dettagli, vedi azuread_application_federated_identity_credential.

Passaggi successivi

Creare assegnazioni di ruoli Azure