Diese Dokumentation bezieht sich auf die neueste Version von GKE on Azure, die im November 2021 veröffentlicht wurde. Weitere Informationen finden Sie in den Versionshinweisen.

Clientzertifikat erstellen

GKE on Azure authentifiziert sich mit einer AzureClient-Ressource bei Azure. Wenn Sie einen Client erstellen, generiert Google ein Schlüsselpaar. Der öffentliche Schlüssel wird in Azure Active Directory (Azure AD) hochgeladen. Die GKE Multi-Cloud API verwendet den Azure-Client, um sich als Dienstprinzipal der Anwendung zu authentifizieren.

Sie können denselben AzureClient verwenden, um mehrere Cluster im selben Google Cloud-Projekt zu erstellen. Wenn Sie bereits einen AzureClient haben, fahren Sie mit SSH-Schlüsselpaar erstellen fort.

Führen Sie die folgenden Befehle aus, um einen AzureClient zu erstellen:

Legen Sie Umgebungsvariablen mit Ihrer Azure-Mandanten- und -Anwendungs-ID fest:

export SUBSCRIPTION_ID=$(az account show --query "id" --output tsv)
export TENANT_ID=$(az account list \
  --query "[?id=='${SUBSCRIPTION_ID}'].{tenantId:tenantId}" --output tsv)
export APPLICATION_ID=$(az ad app list --all \
  --query "[?displayName=='APPLICATION_NAME'].appId" --output tsv)

Ersetzen Sie APPLICATION_NAME durch den Azure AD-Anwendungsnamen, den Sie beim Erfüllen der Voraussetzungen verwendet haben.

Erstellen Sie den Client:
```
gcloud container azure clients create CLIENT_NAME \
  --location=GOOGLE_CLOUD_LOCATION \
  --tenant-id="${TENANT_ID}" \
  --application-id="${APPLICATION_ID}"
```
Ersetzen Sie Folgendes:
- CLIENT_NAME: der Name Ihres AzureClient
- GOOGLE_CLOUD_LOCATION: die unterstützte Google Cloud-Region, die Ihren Cluster verwaltet, z. B. us-west1
Rufen Sie das Zertifikat aus einem AzureClient ab und speichern Sie es in einer Umgebungsvariablen:
```
 CERT=$(gcloud container azure clients get-public-cert --location=GOOGLE_CLOUD_LOCATION \
      CLIENT_NAME)
```
Ersetzen Sie Folgendes:
- GOOGLE_CLOUD_LOCATION
- CLIENT_NAME

Laden Sie das Zertifikat in Ihre Anwendung in Azure AD hoch:

 az ad app credential reset --id "${APPLICATION_ID}" --cert "${CERT}" --append

Warten Sie nach dem Hochladen des Zertifikats und vor dem Erstellen eines Clusters mindestens eine Minute, bis das Zertifikat einsatzbereit ist. Wenn der Befehl fehlschlägt, können Sie es noch einmal versuchen.
Hinweis: Wenn der vorherige Befehl mit der folgenden Meldung fehlschlägt, speichern Sie das Zertifikat in einer Datei und laden Sie es auf die Seite Ihrer Anwendung im Azure-Portal hoch:
```
 Update to existing credential with KeyId 'XXXXXXX-XXXXX-XXX-XXXX-XXXXXXXXXXXX' is not allowed.
```
Ersetzen Sie APPLICATION_ID in der folgenden URL durch die ID Ihrer Anwendung, um einen Link zur Seite Ihrer Anwendung zu erhalten:
```
https://portal.azure.com/#blade/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/Credentials/appId/APPLICATION_ID
```

Nächste Schritte

SSH-Schlüsselpaar erstellen