Apigee Hybrid로 워크로드 아이덴티티 사용 설정

이 주제에서는 Apigee Hybrid의 워크로드 아이덴티티를 사용 설정하는 방법을 설명합니다.

개요

워크로드 아이덴티티는 GKE(Google Kubernetes Engine) 내에서 실행되는 애플리케이션이 Google Cloud 서비스에 액세스하는 방법입니다. 워크로드 아이덴티티의 개요는 다음을 참조하세요.

Google Cloud IAM 서비스 계정은 애플리케이션이 Google API에 요청을 수행하는 데 사용할 수 있는 ID입니다. 문서에서는 이러한 서비스 계정을 GSA(Google 서비스 계정)라고 합니다. GSA에 대한 자세한 내용은 서비스 계정을 참조하세요.

이와 별도로 Kubernetes에는 서비스 계정 개념도 있습니다. 서비스 계정은 포드에서 실행되는 프로세스의 ID를 제공합니다. Kubernetes 서비스 계정은 Kubernetes 리소스이고 Google 서비스 계정은 Google Cloud에만 해당됩니다. Kubernetes 서비스 계정에 대한 자세한 내용은 Kubernetes 문서의 포드의 서비스 계정 구성을 참조하세요.

Apigee Hybrid 1.4 이상을 사용하면 Apigee는 각 유형의 구성요소에 대해 Kubernetes 서비스 계정을 만들고 사용합니다. 워크로드 아이덴티티를 사용 설정하면 하이브리드 구성요소가 Kubernetes 서비스 계정과 상호작용할 수 있습니다.

워크로드 아이덴티티가 없는 Apigee Hybrid의 Google 서비스 계정

워크로드 아이덴티티를 사용하지 않으면 인증서 파일이나 Kubernetes 보안 비밀에 대한 참조가 있는 override.yaml 파일의 각 구성요소에 Google 서비스 계정을 연결해야 합니다. 예를 들면 다음과 같습니다.

이 절차에서 사용된 환경 변수

이 절차에서는 다음 환경 변수를 사용합니다. 명령어 셸에서 이들을 설정하거나 코드 샘플에서 실제 값으로 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • ORG_NAME: Apigee 조직의 이름
  • ENV_NAME: Apigee 환경 이름
  • NAMESPACE: Apigee 네임스페이스 이름. 일반적으로 apigee입니다.
  • CLUSTER_NAME: 클러스터 이름입니다.
  • CLUSTER_LOCATION: 클러스터의 리전 또는 영역(예: us-west1)
  • APIGEECTL_HOME: apigeectl을 설치한 디렉터리
  • HYBRID_FILES: 하이브리드 파일 디렉터리(예: hybrid-base-directory/hybrid-files)

환경 변수 확인:

echo $PROJECT_ID
echo $ORG_NAME
echo $ENV_NAME
echo $NAMESPACE
echo $CLUSTER_NAME
echo $CLUSTER_LOCATION
echo $APIGEECTL_HOME
echo $HYBRID_FILES

필요한 변수 초기화:

export PROJECT_ID=my-project-id
export ORG_NAME=$PROJECT_ID
export ENV_NAME=my-environment-name
export NAMESPACE=apigee
export CLUSTER_NAME=my-cluster-name
export CLUSTER_LOCATION=my-cluster-location
export APIGEECTL_HOME=hybrid-base-directory/apigeectl
export HYBRID_FILES=hybrid-base-directory/hybrid-files

워크로드 아이덴티티 및 서비스 계정 키 파일

GKE에서 Apigee Hybrid를 실행할 때 표준 방식은 각 서비스 계정의 비공개 키(.json 파일)를 만들고 다운로드하는 것입니다. 워크로드 아이덴티티를 사용할 때는 서비스 계정 비공개 키를 다운로드하고 GKE 클러스터에 추가할 필요가 없습니다.

Apigee Hybrid 설치의 일부로 서비스 계정 키 파일을 다운로드한 경우 워크로드 아이덴티티를 사용 설정한 후 삭제할 수 있습니다. 대부분의 설치에서는 hybrid-base-directory/hybrid-files/service-accounts/ 디렉터리에 있습니다.

Apigee Hybrid용 워크로드 아이덴티티 사용 설정

시작하려면 워크로드 아이덴티티 사용 설정 준비의 안내에 따라 워크로드 아이덴티티를 사용 설정하기 전에 노드 풀을 업데이트하고 변수를 초기화하세요.

그런 다음 workloadIdentityEnabled: true 설정 및 서비스 계정 만들기의 안내를 따라 Apigee Hybrid 설치에서 워크로드 아이덴티티를 사용 설정합니다.

워크로드 아이덴티티 사용 설정 준비

설치 프로세스를 시작하기 전에 이 섹션의 단계를 따르세요.

  1. 프로젝트를 수정 중인 프로젝트로 설정합니다.
    gcloud config set project $PROJECT_ID
  2. 다음 명령어를 사용하여 워크로드 아이덴티티를 사용 설정하는 클러스터의 gcloud 사용자 인증 정보를 가져옵니다.
    gcloud container clusters get-credentials ${CLUSTER_NAME} \
      --region ${CLUSTER_LOCATION} \
      --project ${PROJECT_ID}
  3. 다음 명령어를 사용하여 Apigee를 실행하는 GKE 클러스터에 워크로드 아이덴티티가 사용 설정되었는지 확인합니다.
    gcloud container clusters describe $CLUSTER_NAME --region $CLUSTER_LOCATION --project $PROJECT_ID

    출력이 다음과 비슷하게 표시되어야 합니다.

    
      
      status: RUNNING
      subnetwork: default
      workloadIdentityConfig:
        workloadPool: my-project-id.svc.id.goog

    필요한 경우 클러스터에서 워크로드 아이덴티티를 사용 설정합니다. 이 작업은 최대 30분이 걸릴 수 있습니다.

      gcloud container clusters update $CLUSTER_NAME \
      --workload-pool=$PROJECT_ID.svc.id.goog \
      --project $PROJECT_ID \
      --region $CLUSTER_LOCATION

    자세한 내용은 워크로드 아이덴티티 사용 설정을 참조하세요.

  4. 각 노드 풀에서 워크로드 아이덴티티가 사용 설정되어 있는지 확인합니다.
    1. 다음 명령어를 사용하여 노드 풀을 나열합니다.
      gcloud container node-pools list \
        --cluster $CLUSTER_NAME \
        --region $CLUSTER_LOCATION \
        --project $PROJECT_ID

      다음과 비슷한 결과가 출력됩니다.

        NAME            MACHINE_TYPE   DISK_SIZE_GB  NODE_VERSION
        apigee-runtime  e2-standard-4  100           1.23.12-gke.100
        apigee-data     e2-standard-4  100           1.23.12-gke.100
    2. 노드 풀마다 다음 명령어를 사용하여 노드 풀별로 워크로드 아이덴티티가 사용 설정되어 있는지 확인합니다.
      gcloud container node-pools update NODE_POOL_NAME \
        --cluster=$CLUSTER_NAME \
        --region $CLUSTER_LOCATION \
        --project $PROJECT_ID \
        --workload-metadata=GKE_METADATA

      여기서 NODE_POOL_NAME는 각 노드 풀의 이름입니다.

Google 서비스 계정 확인 또는 만들기

설치 동안 여러 Apigee Hybrid 구성요소에 Google 서비스 계정이 생성됩니다. 이 절차를 수행하여 Google 서비스 계정을 확인하고 필요한 계정을 만듭니다.

  1. 다음 명령어를 사용하여 프로젝트의 Google 서비스 계정의 이름을 확인합니다.
    gcloud iam service-accounts list --project $PROJECT_ID

    다음과 비슷한 결과가 출력됩니다.

    프로덕션

    비프로덕션 환경의 경우:

    DISPLAY NAME         EMAIL                                                      DISABLED
    apigee-cassandra     apigee-cassandra@my_project_id.iam.gserviceaccount.com     False
    apigee-logger        apigee-logger@my_project_id.iam.gserviceaccount.com        False
    apigee-mart          apigee-mart@my_project_id.iam.gserviceaccount.com          False
    apigee-metrics       apigee-metrics@my_project_id.iam.gserviceaccount.com       False
    apigee-runtime       apigee-runtime@my_project_id.iam.gserviceaccount.com       False
    apigee-synchronizer  apigee-synchronizer@my_project_id.iam.gserviceaccount.com  False
    apigee-udca          apigee-udca@my_project_id.iam.gserviceaccount.com          False
    apigee-watcher       apigee-watcher@my_project_id.iam.gserviceaccount.com       False
    

    비프로덕션

    비프로덕션 환경의 경우:

    DISPLAY NAME         EMAIL                                                      DISABLED
    apigee-non-prod      apigee-non-prod@my_project_id.iam.gserviceaccount.com      False
    

    프로젝트에 대한 Google 서비스 계정을 만들어야 하는 경우 두 가지 방법을 사용할 수 있습니다.

    • apigeectl/tools/ 디렉터리에서 apigee에 포함된 create-service-account 도구를 사용합니다. 이 도구는 단일 명령어로 모든 서비스 계정을 만들거나 개별적으로 만들 수 있습니다.
    • gcloud iam service-accounts create 명령어를 사용하여 서비스 계정을 한 번에 하나씩 만들고 gcloud projects add-iam-policy-binding 명령어를 사용하여 각 서비스 계정에 적절한 역할을 할당합니다. 이 방법을 사용하려면 각 서비스 계정을 개별적으로 만들어야 하지만 키 파일을 다운로드하지 않아도 됩니다.

    create-service-account

    다음 명령어를 사용하여 구성요소별로 Google 서비스 계정을 만듭니다.

    프로덕션

    비프로덕션 환경의 경우:

    $APIGEECTL_HOME/tools/create-service-account --env prod --dir $APIGEECTL_HOME/../service-accounts

    이 명령어는 다음 서비스 계정을 만듭니다.

    • apigee-cassandra
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-runtime
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher

    비프로덕션

    비프로덕션 환경의 경우:

    $APIGEECTL_HOME/tools/create-service-account --env non-prod --dir $APIGEECTL_HOME/../service-accounts

    이 명령어는 모든 Apigee 구성요소를 관리하는 데 필요한 모든 역할이 할당된 단일 서비스 계정(apigee-non-prod)을 만듭니다.

    gcloud

    다음 서비스 계정을 만들고 여기에 역할을 할당합니다.

    1. 서비스 계정: apigee-cassandra, 역할: roles/storage.objectAdmin

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-cassandra \
        --display-name="apigee-cassandra" \
        --project $PROJECT_ID
                  

      다음의 역할을 할당합니다.

      gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-cassandra@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/storage.objectAdmin"
                  
    2. 서비스 계정: apigee-logger, 역할: roles/logging.logWriter

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-logger \
        --display-name="apigee-logger" \
        --project $PROJECT_ID
                  

      다음의 역할을 할당합니다.

      gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-logger@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/logging.logWriter"
                  
    3. 서비스 계정: apigee-mart, 역할: roles/apigeeconnect.Agent

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-mart \
        --display-name="apigee-mart" \
        --project $PROJECT_ID
                  

      다음의 역할을 할당합니다.

      gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-mart@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/apigeeconnect.Agent"
                  
    4. 서비스 계정: apigee-metrics, 역할: roles/monitoring.metricWriter

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-metrics \
        --display-name="apigee-metrics" \
        --project $PROJECT_ID
                  

      다음의 역할을 할당합니다.

      gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-metrics@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/monitoring.metricWriter"
                  
    5. 서비스 계정: apigee-runtime, 역할: 할당된 역할 없음

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-runtime \
        --display-name="apigee-runtime" \
        --project $PROJECT_ID
                  
    6. 서비스 계정: apigee-synchronizer, 역할: roles/apigee.synchronizerManager

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-synchronizer \
        --display-name="apigee-synchronizer" \
        --project $PROJECT_ID
                  

      다음의 역할을 할당합니다.

      gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-synchronizer@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/apigee.synchronizerManager"
                  
    7. 서비스 계정: apigee-udca, 역할: roles/apigee.analyticsAgent

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-udca \
        --display-name="apigee-udca" \
        --project $PROJECT_ID
                  

      다음의 역할을 할당합니다.

      gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-udca@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/apigee.analyticsAgent"
                  
    8. 서비스 계정: apigee-watcher, 역할: roles/apigee.runtimeAgent

      계정을 만듭니다.

      gcloud iam service-accounts create apigee-watcher \
        --display-name="apigee-watcher" \
        --project $PROJECT_ID
                  

      다음의 역할을 할당합니다.

      gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-watcher@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/apigee.runtimeAgent"
                  

workloadIdentityEnabled: true 설정 및 서비스 계정 만들기

apigeectl은 재정의 파일에서 workloadIdentityEnabled: true를 설정하고 변경사항을 적용할 때 각 Apigee Hybrid 구성요소의 Kubernetes 서비스 계정을 만듭니다.

  1. 아래의 굵게 표시된 줄을 gcp 스탠자 아래의 overrides.yaml 파일에 추가합니다. 이렇게 하면 설치에 워크로드 아이덴티티가 사용 설정되며 구성을 적용할 때 apigeectl이 Kubernetes 서비스 계정을 생성하도록 트리거됩니다.
    gcp:
      projectID: "my-project-id"
      name: "my-project-id"
      region: "analytics-region"
      workloadIdentityEnabled: true
  2. 아래의 굵게 표시된 줄을 cassandra 스탠자 아래의 overrides.yaml 파일에 추가합니다. 이렇게 하면 apigee-cassandra-backup Kubernetes 서비스 계정이 생성됩니다.
    cassandra:
      ...
      backup:
        enabled: true
  3. --restore 플래그를 사용하여 apigeectl에 변경사항을 적용합니다.
    $APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --restore
  4. 다음 명령어를 사용하여 서비스 계정을 확인합니다.
    kubectl get sa -n $NAMESPACE

    출력이 다음과 같이 표시됩니다. 굵게 표시된 Kubernetes 서비스 계정은 Google 클라우드 서비스 계정으로 주석을 추가하는 데 필요한 계정입니다.

    NAME                                                         SECRETS   AGE
    apigee-cassandra-backup                                      1         11m
    apigee-cassandra-restore                                     1         11m
    apigee-cassandra-schema-setup-my-project-id-123abcd-sa       1         11m
    apigee-cassandra-schema-val-my-project-id-123abcd            1         11m
    apigee-cassandra-user-setup-my-project-id-123abcd-sa         1         11m
    apigee-connect-agent-my-project-id-123abcd-sa                1         11m
    apigee-datastore-default-sa                                  1         11m
    apigee-ingressgateway                                        1         11m
    apigee-ingressgateway-my-project-id-123abcd                  1         11m
    apigee-ingressgateway-manager                                1         11m
    apigee-init                                                  1         11m
    apigee-mart-my-project-id-123abcd-sa                         1         11m
    apigee-metrics-sa                                            1         11m
    apigee-mint-task-scheduler-my-project-id-123abcd-sa          1         11m
    apigee-redis-default-sa                                      1         11m
    apigee-redis-envoy-default-sa                                1         11m
    apigee-runtime-my-project-id-env-name-234bcde-sa             1         11m
    apigee-synchronizer-my-project-id-env-name-234bcde-sa        1         11m
    apigee-udca-my-project-id-123abcd-sa                         1         11m
    apigee-udca-my-project-id-env-name-234bcde-sa                1         11m
    apigee-watcher-my-project-id-123abcd-sa                      1         11m
    default                                                      1         11m
        

Google 서비스 계정으로 Kubernetes 서비스 계정에 주석 추가

각 Apigee 구성요소에 대해서는 해당 Kubernetes 서비스 계정에 구성요소에 대한 Google 서비스 계정으로 주석을 추가합니다.

조직 수준 구성요소

Apigee 조직에 대해 각 Kubernetes 서비스 계정의 인스턴스가 하나만 있습니다.

구성요소 Kubernetes 서비스 계정 Google 서비스 계정
Cassandra apigee-cassandra-backup apigee-cassandra
apigee-cassandra-restore apigee-cassandra
apigee-cassandra-schema-setup-my-project-id-num-id1-sa apigee-cassandra
apigee-cassandra-schema-val-my-project-id-num-id1 apigee-cassandra
apigee-cassandra-user-setup-my-project-id-num-id1-sa apigee-cassandra
apigee-datastore-default-sa apigee-cassandra
Apigee Connect apigee-connect-agent-my-project-id-num-id1-sa apigee-mart
MART apigee-mart-my-project-id-num-id1-sa apigee-mart
측정항목 apigee-metrics-sa apigee-metrics
UDCA(조직 수준) apigee-udca-my-project-id-num-id1-sa apigee-udca
Watcher apigee-watcher-my-project-id-num-id1-sa apigee-watcher

환경 수준 구성요소

각 Apigee 환경에 대한 각 Kubernetes 서비스 계정의 인스턴스가 하나씩 있습니다.

구성요소 Kubernetes 서비스 계정 Google 서비스 계정
Apigee 런타임 apigee-runtime-my-project-id-env-name-num-id2-sa apigee-runtime
동기화 담당자 apigee-synchronizer-my-project-id-env-name-num-id2-sa apigee-synchronizer
UDCA(환경 수준) apigee-udca-my-project-id-env-name-num-id2-sa apigee-udca

다음 명령어에서 kubectl get sa -n $NAMESPACE 명령어가 반환한 Kubernetes 서비스 계정 이름을 사용하세요(예: apigee-cassandra-schema-val-hybrid-example-project-123abcd).

이 절차에서는 Kubernetes 서비스 계정마다 다음을 수행합니다.

  • Kubernetes 서비스 계정 및 주 구성원 Google 서비스 계정을 roles/iam.workloadIdentityUser IAM 역할에 바인딩합니다.
  • Google 서비스 계정으로 Kubernetes 서비스 계정에 주석을 추가합니다.
  1. 역할을 바인딩하고 서비스 계정에 주석을 추가합니다.

    조직 수준 구성요소

    조직 수준 구성요소에 대한 Kubernetes 서비스 계정에 주석을 추가합니다. Apigee 조직의 구성요소마다 이 작업을 한 번씩 수행해야 합니다.

    • Cassandra

      Cassandra 구성요소에는 6개의 연결된 Kubernetes 서비스 계정이 있습니다.

      • apigee-cassandra-backup
      • apigee-cassandra-restore
      • apigee-cassandra-schema-setup
      • apigee-cassandra-schema-val (val = 검증)
      • apigee-cassandra-user-setup
      • apigee-datastore-default

      프로덕션

      apigee-cassandra-backup

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.
        GSA_NAME="apigee-cassandra"
        KSA_NAME="apigee-cassandra-backup"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-restore

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-restore"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-schema-setup-service-account-name

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-setup-service-account-name"

        IAM 역할을 바인딩합니다.

        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      2. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-schema-val-service-account-name

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-val-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-user-setup-service-account-name

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-user-setup-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      apigee-datastore-default-sa

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-datastore-default-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      apigee-cassandra-backup

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.
        GSA_NAME="apigee-non-prod"
        KSA_NAME="apigee-connect-agent-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-restore

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-restore"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-schema-setup-service-account-name

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-setup-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-schema-val-service-account-name

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-val-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-user-setup-service-account-name

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-user-setup-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com

      apigee-datastore-default-sa

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-datastore-default-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
    • Apigee Connect

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.
        GSA_NAME="apigee-mart"
        KSA_NAME="apigee-connect-agent-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-connect-agent-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
    • MART

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-mart"
        KSA_NAME="apigee-mart-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-mart-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
    • Apigee 측정항목

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-metrics"
        KSA_NAME="apigee-metrics-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-metrics-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
    • UDCA(조직 수준)

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-udca"
        KSA_NAME="apigee-udca-org-level-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-udca-org-level-service-account-name"
      2. IAM 역할을 바인딩합니다.
          gcloud iam service-accounts add-iam-policy-binding \
            --role roles/iam.workloadIdentityUser \
            --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
            $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
          kubectl annotate serviceaccount \
            --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
    • Apigee Watcher

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-watcher"
        KSA_NAME="apigee-watcher-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-watcher-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com

    환경별로 다음을 수행합니다.

    • 런타임

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-runtime"
        KSA_NAME="apigee-runtime-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-runtime-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
    • 동기화 담당자

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-synchronizer"
        KSA_NAME="apigee-synchronizer-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-synchronizer-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
    • UDCA(환경 수준)

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-udca"
        KSA_NAME="apigee-udca-env-level-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-udca-env-level-service-account-name"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
  2. 단계가 올바른지 확인합니다.
    gcloud config set project $PROJECT_ID
    

    테스트할 Kubernetes 서비스 계정을 선택합니다(예: apigee-cassandra-backup).

    KSA_NAME="kubernetes-service-account-name"
    
    kubectl run --rm -it --image google/cloud-sdk:slim \
      --namespace $NAMESPACE workload-identity-test\
      -- gcloud auth list

    명령어 프롬프트가 보이지 않으면 Enter를 눌러 보세요.

    단계가 올바르게 실행되었다면 다음과 같은 응답이 표시되어야 합니다.

                       Credentialed Accounts
    ACTIVE  ACCOUNT
    *       GSA@PROJECT_ID.iam.gserviceaccount.com
  3. 이전 설치에서 업그레이드하는 경우 서비스 계정 비공개 키가 포함된 보안 비밀을 삭제합니다.
    kubectl delete secrets -n $NAMESPACE $(k get secrets -n $NAMESPACE | grep svc-account | awk '{print $1}')
    
  4. 로그 확인:
    kubectl logs -n $NAMESPACE -l app=apigee=synchronizer,env=$ENV_NAME,org=$ORG_NAME apigee-synchronizer
    

워크로드 아이덴티티를 사용하도록 설치 업그레이드

기존 하이브리드 설치에 워크로드 아이덴티티를 추가하려면 다음 안내를 따르세요.

다음은 Apigee용으로 생성된 Google 서비스 계정(GSA)을 보여주는 샘플입니다.

gcloud iam service-accounts list --filter "apigee"
DISPLAY NAME       EMAIL                                                  DISABLED
apigee-cassandra   apigee-cassandra@PROJECT_ID.iam.gserviceaccount.com    False
apigee-connect     apigee-connect@PROJECT_ID.iam.gserviceaccount.com      False
apigee-runtime     apigee-runtime@PROJECT_ID.iam.gserviceaccount.com      False
apigee-metrics     apigee-metrics@PROJECT_ID.iam.gserviceaccount.com      False
apigee-mart        apigee-mart@PROJECT_ID.iam.gserviceaccount.com         False
apigee-watcher     apigee-watcher@PROJECT_ID.iam.gserviceaccount.com      False
apigee-sync        apigee-sync@PROJECT_ID.iam.gserviceaccount.com         False
apigee-udca        apigee-udca@$PROJECT_ID.iam.gserviceaccount.com        False

다음은 Apigee용으로 생성된 샘플 Kubernetes 서비스 계정(KSA)입니다.

kubectl get sa -n $NAMESPACE
apigee-cassandra-schema-setup-ORG_NAME-cb84b88-sa             1         xxd
apigee-cassandra-user-setup-ORG_NAME-cb84b88-sa               1         xxd
apigee-connect-agent-ORG_NAME-cb84b88-sa                      1         xxd
apigee-init                                                   1         xxd
apigee-mart-ORG_NAME-cb84b88-sa                               1         xxd
apigee-metrics-apigee-telemetry                               1         xxd
apigee-runtime-ORG_NAME-ENV_NAME-1d0dc5e-sa                   1         xxd
apigee-synchronizer-ORG_NAME-ENV_NAME-1d0dc5e-sa              1         xxd
apigee-udca-ORG_NAME-ENV_NAME-1d0dc5e-sa                      1         xxd
apigee-watcher-ORG_NAME-cb84b88                               1         xxd
  1. 각 서비스 계정에 워크로드 아이덴티티 역할을 추가합니다.
    gcloud iam service-accounts add-iam-policy-binding \
      --role roles/iam.workloadIdentityUser \
      --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
      GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
    

    예를 들어 Apigee 동기화 담당자에 대한 권한을 설정한 경우 다음을 실행합니다.

    export KSA_NAME=$(kubectl get sa -n apigee -l app=apigee-synchronizer,env=$ENV_NAME,org=$ORG_NAME --output=jsonpath={.items..metadata.name})
    
    gcloud iam service-accounts add-iam-policy-binding --role roles/iam.workloadIdentityUser --member "serviceAccount:$PROJECT_ID.svc.id.goog[apigee/$KSA_NAME]" apigee-sync@$PROJECT_ID.iam.gserviceaccount.com
    
  2. 각 KSA에 GSA 세부정보를 주석으로 추가합니다.
    kubectl annotate serviceaccount \
      --namespace $NAMESPACE \
      $KSA_NAME \
      iam.gke.io/gcp-service-account=GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
    

    예를 들어 Apigee 동기화 담당자에 대한 권한을 설정한 경우 다음을 실행합니다.

    export KSA_NAME=$(kubectl get sa -n apigee -l app=apigee-synchronizer,env=$ENV_NAME,org=$ORG_NAME --output=jsonpath={.items..metadata.name})
    
    kubectl annotate serviceaccount --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-sync@$PROJECT_ID.iam.gserviceaccount.com
    
  3. 단계가 올바른지 확인합니다.
    gcloud config set project $PROJECT_ID
    
      kubectl run --rm -it --image google/cloud-sdk:slim \
        --namespace $NAMESPACE workload-identity-test\
        -- gcloud auth list

    명령어 프롬프트가 보이지 않으면 Enter를 눌러 보세요.

    단계가 올바르게 실행되었다면 다음과 같은 응답이 표시되어야 합니다.

                       Credentialed Accounts
    ACTIVE  ACCOUNT
    *       GSA@PROJECT_ID.iam.gserviceaccount.com
  4. 이전 설치에서 업그레이드하는 경우 서비스 계정 비공개 키가 포함된 보안 비밀을 삭제합니다.
    kubectl delete secrets -n $NAMESPACE $(k get secrets -n $NAMESPACE | grep svc-account | awk '{print $1}')
    
  5. 로그 확인:
    kubectl logs -n $NAMESPACE -l app=apigee=synchronizer,env=$ENV_NAME,org=$ORG_NAME apigee-synchronizer