Azure Active Directory 애플리케이션 만들기
이 섹션에서는 Azure Active Directory(Azure AD) 애플리케이션과 서비스 주 구성원 객체를 만듭니다. Azure용 GKE는 이 객체를 사용하여 Azure에 구성 정보를 저장합니다.
Azure AD 애플리케이션을 만들려면 다음 명령어를 실행합니다.
az ad app create --display-name APPLICATION_NAME
APPLICATION_NAME
을 애플리케이션 이름(예:anthos-clusters
)으로 바꿉니다.나중에 사용할 수 있도록 애플리케이션 ID를 환경 변수에 저장하려면 다음 명령어를 실행합니다.
APPLICATION_ID=$(az ad app list --all \ --query "[?displayName=='APPLICATION_NAME'].appId" \ --output tsv)
APPLICATION_NAME
을 애플리케이션 이름으로 바꿉니다.애플리케이션에 대해 서비스 주 구성원을 만들려면 다음 명령어를 실행합니다.
az ad sp create --id "${APPLICATION_ID}"
워크로드 아이덴티티 제휴 설정
워크로드 아이덴티티 제휴를 사용하면 Azure용 GKE에서 Google 서비스 계정을 사용하여 Azure에 인증할 수 있습니다. Azure에 인증하는 이 방법은 기존 AzureClient 인증 방법보다 간단합니다. 기존 방법을 사용하면 인증서를 관리하고 Azure Active Directory(AD)에 수동으로 업로드해야 했습니다.
Azure AD 애플리케이션에서 제휴 ID 사용자 인증 정보를 구성하려면 다음 명령어를 실행하세요. 참고로 각 Azure AD 애플리케이션에 최대 20개의 사용자 인증 정보를 추가할 수 있습니다.
credential.json
이라는 JSON 파일을 만듭니다.{ "name": "CREDENTIAL_NAME", "issuer": "https://accounts.google.com", "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com", "audiences": ["api://AzureADTokenExchange"], "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account." }
CREDENTIAL_NAME
: 사용자 인증 정보 이름PROJECT_NUMBER
: 클러스터를 호스팅하는 Google Cloud 프로젝트 수
Azure AD 애플리케이션에 제휴 ID 사용자 인증 정보를 만듭니다.
az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json
자세한 내용은 Google Cloud와 Azure AD 워크로드 아이덴티티 제휴 문서를 참조하세요.
Terraform을 사용하여 Azure 제휴 ID 사용자 인증 정보를 프로비저닝할 수도 있습니다. 자세한 내용은 azuread_application_federated_identity_credential을 참조하세요.