이 주제에서는 Apigee Hybrid의 워크로드 아이덴티티를 사용 설정하는 방법을 설명합니다.
개요
워크로드 아이덴티티는 GKE(Google Kubernetes Engine) 내에서 실행되는 애플리케이션이 Google Cloud 서비스에 액세스하는 방법입니다. 워크로드 아이덴티티의 개요는 다음을 참조하세요.
Google Cloud IAM 서비스 계정은 애플리케이션이 Google API에 요청을 수행하는 데 사용할 수 있는 ID입니다. 문서에서는 이러한 서비스 계정을 GSA(Google 서비스 계정)라고 합니다. GSA에 대한 자세한 내용은 서비스 계정을 참조하세요.
이와 별도로 Kubernetes에는 서비스 계정 개념도 있습니다. 서비스 계정은 포드에서 실행되는 프로세스의 ID를 제공합니다. Kubernetes 서비스 계정은 Kubernetes 리소스이고 Google 서비스 계정은 Google Cloud에만 해당됩니다. Kubernetes 서비스 계정에 대한 자세한 내용은 Kubernetes 문서의 포드의 서비스 계정 구성을 참조하세요.
Apigee Hybrid 1.4 이상을 사용하면 Apigee는 각 유형의 구성요소에 대해 Kubernetes 서비스 계정을 만들고 사용합니다. 워크로드 아이덴티티를 사용 설정하면 하이브리드 구성요소가 Kubernetes 서비스 계정과 상호작용할 수 있습니다.
워크로드 아이덴티티가 없는 Apigee Hybrid의 Google 서비스 계정
워크로드 아이덴티티를 사용하지 않으면 인증서 파일이나 Kubernetes 보안 비밀에 대한 참조가 있는 override.yaml 파일의 각 구성요소에 Google 서비스 계정을 연결해야 합니다. 예를 들면 다음과 같습니다.
- 인증서 파일:
watcher: serviceAccountPath: ./apigee-org/my-hybrid-project-apigee-watcher.json
다음을 참조하세요.
- Kubernetes 보안 비밀:
watcher: serviceAccountRef: my-watcher-k8s-secret
다음을 참조하세요.
이 절차에서 사용된 환경 변수
이 절차에서는 다음 환경 변수를 사용합니다. 명령어 셸에서 이들을 설정하거나 코드 샘플에서 실제 값으로 바꿉니다.
PROJECT_ID
: Google Cloud 프로젝트의 IDORG_NAME
: Apigee 조직의 이름ENV_NAME
: Apigee 환경 이름NAMESPACE
: Apigee 네임스페이스 이름. 일반적으로apigee
입니다.CLUSTER_NAME
: 클러스터 이름입니다.CLUSTER_LOCATION
: 클러스터의 리전 또는 영역(예:us-west1
)APIGEECTL_HOME
:apigeectl
을 설치한 디렉터리HYBRID_FILES
: 하이브리드 파일 디렉터리(예:hybrid-base-directory/hybrid-files
)
환경 변수 확인:
echo $PROJECT_IDecho $ORG_NAME
echo $ENV_NAME
echo $NAMESPACE
echo $CLUSTER_NAME
echo $CLUSTER_LOCATION
echo $APIGEECTL_HOME
echo $HYBRID_FILES
필요한 변수 초기화:
export PROJECT_ID=my-project-idexport ORG_NAME=$PROJECT_ID
export ENV_NAME=my-environment-name
export NAMESPACE=apigee
export CLUSTER_NAME=my-cluster-name
export CLUSTER_LOCATION=my-cluster-location
export APIGEECTL_HOME=hybrid-base-directory/apigeectl
export HYBRID_FILES=hybrid-base-directory/hybrid-files
워크로드 아이덴티티 및 서비스 계정 키 파일
GKE에서 Apigee Hybrid를 실행할 때 표준 방식은 각 서비스 계정의 비공개 키(.json
파일)를 만들고 다운로드하는 것입니다. 워크로드 아이덴티티를 사용할 때는 서비스 계정 비공개 키를 다운로드하고 GKE 클러스터에 추가할 필요가 없습니다.
Apigee Hybrid 설치의 일부로 서비스 계정 키 파일을 다운로드한 경우 워크로드 아이덴티티를 사용 설정한 후 삭제할 수 있습니다. 대부분의 설치에서는 hybrid-base-directory/hybrid-files/service-accounts/
디렉터리에 있습니다.
Apigee Hybrid용 워크로드 아이덴티티 사용 설정
시작하려면 워크로드 아이덴티티 사용 설정 준비의 안내에 따라 워크로드 아이덴티티를 사용 설정하기 전에 노드 풀을 업데이트하고 변수를 초기화하세요.
그런 다음 workloadIdentityEnabled: true
설정 및 서비스 계정 만들기의 안내를 따라 Apigee Hybrid 설치에서 워크로드 아이덴티티를 사용 설정합니다.
워크로드 아이덴티티 사용 설정 준비
설치 프로세스를 시작하기 전에 이 섹션의 단계를 따르세요.
- 프로젝트를 수정 중인 프로젝트로 설정합니다.
gcloud config set project $PROJECT_ID
-
다음 명령어를 사용하여 워크로드 아이덴티티를 사용 설정하는 클러스터의
gcloud
사용자 인증 정보를 가져옵니다.gcloud container clusters get-credentials ${CLUSTER_NAME} \ --region ${CLUSTER_LOCATION} \ --project ${PROJECT_ID}
- 다음 명령어를 사용하여 Apigee를 실행하는 GKE 클러스터에 워크로드 아이덴티티가 사용 설정되었는지 확인합니다.
gcloud container clusters describe $CLUSTER_NAME --region $CLUSTER_LOCATION --project $PROJECT_ID
출력이 다음과 비슷하게 표시되어야 합니다.
… … status: RUNNING subnetwork: default workloadIdentityConfig: workloadPool: my-project-id.svc.id.goog
필요한 경우 클러스터에서 워크로드 아이덴티티를 사용 설정합니다. 이 작업은 최대 30분이 걸릴 수 있습니다.
gcloud container clusters update $CLUSTER_NAME \ --workload-pool=$PROJECT_ID.svc.id.goog \ --project $PROJECT_ID \ --region $CLUSTER_LOCATION
자세한 내용은 워크로드 아이덴티티 사용 설정을 참조하세요.
- 각 노드 풀에서 워크로드 아이덴티티가 사용 설정되어 있는지 확인합니다.
- 다음 명령어를 사용하여 노드 풀을 나열합니다.
gcloud container node-pools list \ --cluster $CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID
다음과 비슷한 결과가 출력됩니다.
NAME MACHINE_TYPE DISK_SIZE_GB NODE_VERSION apigee-runtime e2-standard-4 100 1.23.12-gke.100 apigee-data e2-standard-4 100 1.23.12-gke.100
- 노드 풀마다 다음 명령어를 사용하여 노드 풀별로 워크로드 아이덴티티가 사용 설정되어 있는지 확인합니다.
gcloud container node-pools update NODE_POOL_NAME \ --cluster=$CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID \ --workload-metadata=GKE_METADATA
여기서 NODE_POOL_NAME는 각 노드 풀의 이름입니다.
- 다음 명령어를 사용하여 노드 풀을 나열합니다.
Google 서비스 계정 확인 또는 만들기
설치 동안 여러 Apigee Hybrid 구성요소에 Google 서비스 계정이 생성됩니다. 이 절차를 수행하여 Google 서비스 계정을 확인하고 필요한 계정을 만듭니다.
- 다음 명령어를 사용하여 프로젝트의 Google 서비스 계정의 이름을 확인합니다.
gcloud iam service-accounts list --project $PROJECT_ID
다음과 비슷한 결과가 출력됩니다.
프로덕션
비프로덕션 환경의 경우:
DISPLAY NAME EMAIL DISABLED apigee-cassandra apigee-cassandra@my_project_id.iam.gserviceaccount.com False apigee-logger apigee-logger@my_project_id.iam.gserviceaccount.com False apigee-mart apigee-mart@my_project_id.iam.gserviceaccount.com False apigee-metrics apigee-metrics@my_project_id.iam.gserviceaccount.com False apigee-runtime apigee-runtime@my_project_id.iam.gserviceaccount.com False apigee-synchronizer apigee-synchronizer@my_project_id.iam.gserviceaccount.com False apigee-udca apigee-udca@my_project_id.iam.gserviceaccount.com False apigee-watcher apigee-watcher@my_project_id.iam.gserviceaccount.com False
비프로덕션
비프로덕션 환경의 경우:
DISPLAY NAME EMAIL DISABLED apigee-non-prod apigee-non-prod@my_project_id.iam.gserviceaccount.com False
프로젝트에 대한 Google 서비스 계정을 만들어야 하는 경우 두 가지 방법을 사용할 수 있습니다.
apigeectl/tools/
디렉터리에서 apigee에 포함된create-service-account
도구를 사용합니다. 이 도구는 단일 명령어로 모든 서비스 계정을 만들거나 개별적으로 만들 수 있습니다.gcloud iam service-accounts create
명령어를 사용하여 서비스 계정을 한 번에 하나씩 만들고gcloud projects add-iam-policy-binding
명령어를 사용하여 각 서비스 계정에 적절한 역할을 할당합니다. 이 방법을 사용하려면 각 서비스 계정을 개별적으로 만들어야 하지만 키 파일을 다운로드하지 않아도 됩니다.
다음 명령어를 사용하여 구성요소별로 Google 서비스 계정을 만듭니다.create-service-account
프로덕션
비프로덕션 환경의 경우:
$APIGEECTL_HOME/tools/create-service-account --env prod --dir $APIGEECTL_HOME/../service-accounts
이 명령어는 다음 서비스 계정을 만듭니다.
apigee-cassandra
apigee-logger
apigee-mart
apigee-metrics
apigee-runtime
apigee-synchronizer
apigee-udca
apigee-watcher
비프로덕션
비프로덕션 환경의 경우:
$APIGEECTL_HOME/tools/create-service-account --env non-prod --dir $APIGEECTL_HOME/../service-accounts
이 명령어는 모든 Apigee 구성요소를 관리하는 데 필요한 모든 역할이 할당된 단일 서비스 계정(
apigee-non-prod
)을 만듭니다.gcloud
다음 서비스 계정을 만들고 여기에 역할을 할당합니다.
- 서비스 계정:
apigee-cassandra
, 역할:roles/storage.objectAdmin
계정을 만듭니다.
gcloud iam service-accounts create apigee-cassandra \ --display-name="apigee-cassandra" \ --project $PROJECT_ID
다음의 역할을 할당합니다.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-cassandra@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/storage.objectAdmin"
- 서비스 계정:
apigee-logger
, 역할:roles/logging.logWriter
계정을 만듭니다.
gcloud iam service-accounts create apigee-logger \ --display-name="apigee-logger" \ --project $PROJECT_ID
다음의 역할을 할당합니다.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-logger@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/logging.logWriter"
- 서비스 계정:
apigee-mart
, 역할:roles/apigeeconnect.Agent
계정을 만듭니다.
gcloud iam service-accounts create apigee-mart \ --display-name="apigee-mart" \ --project $PROJECT_ID
다음의 역할을 할당합니다.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-mart@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigeeconnect.Agent"
- 서비스 계정:
apigee-metrics
, 역할:roles/monitoring.metricWriter
계정을 만듭니다.
gcloud iam service-accounts create apigee-metrics \ --display-name="apigee-metrics" \ --project $PROJECT_ID
다음의 역할을 할당합니다.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-metrics@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/monitoring.metricWriter"
- 서비스 계정:
apigee-runtime
, 역할: 할당된 역할 없음계정을 만듭니다.
gcloud iam service-accounts create apigee-runtime \ --display-name="apigee-runtime" \ --project $PROJECT_ID
- 서비스 계정:
apigee-synchronizer
, 역할:roles/apigee.synchronizerManager
계정을 만듭니다.
gcloud iam service-accounts create apigee-synchronizer \ --display-name="apigee-synchronizer" \ --project $PROJECT_ID
다음의 역할을 할당합니다.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-synchronizer@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigee.synchronizerManager"
- 서비스 계정:
apigee-udca
, 역할:roles/apigee.analyticsAgent
계정을 만듭니다.
gcloud iam service-accounts create apigee-udca \ --display-name="apigee-udca" \ --project $PROJECT_ID
다음의 역할을 할당합니다.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-udca@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigee.analyticsAgent"
- 서비스 계정:
apigee-watcher
, 역할:roles/apigee.runtimeAgent
계정을 만듭니다.
gcloud iam service-accounts create apigee-watcher \ --display-name="apigee-watcher" \ --project $PROJECT_ID
다음의 역할을 할당합니다.
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:apigee-watcher@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/apigee.runtimeAgent"
workloadIdentityEnabled: true
설정 및 서비스 계정 만들기
apigeectl
은 재정의 파일에서 workloadIdentityEnabled: true
를 설정하고 변경사항을 적용할 때 각 Apigee Hybrid 구성요소의 Kubernetes 서비스 계정을 만듭니다.
- 아래의 굵게 표시된 줄을
gcp
스탠자 아래의overrides.yaml
파일에 추가합니다. 이렇게 하면 설치에 워크로드 아이덴티티가 사용 설정되며 구성을 적용할 때apigeectl
이 Kubernetes 서비스 계정을 생성하도록 트리거됩니다.gcp: projectID: "my-project-id" name: "my-project-id" region: "analytics-region" workloadIdentityEnabled: true
- 아래의 굵게 표시된 줄을
cassandra
스탠자 아래의overrides.yaml
파일에 추가합니다. 이렇게 하면apigee-cassandra-backup
Kubernetes 서비스 계정이 생성됩니다.cassandra: ... backup: enabled: true
--restore
플래그를 사용하여apigeectl
에 변경사항을 적용합니다.$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --restore
- 다음 명령어를 사용하여 서비스 계정을 확인합니다.
kubectl get sa -n $NAMESPACE
출력이 다음과 같이 표시됩니다. 굵게 표시된 Kubernetes 서비스 계정은 Google 클라우드 서비스 계정으로 주석을 추가하는 데 필요한 계정입니다.
NAME SECRETS AGE apigee-cassandra-backup 1 11m apigee-cassandra-restore 1 11m apigee-cassandra-schema-setup-my-project-id-123abcd-sa 1 11m apigee-cassandra-schema-val-my-project-id-123abcd 1 11m apigee-cassandra-user-setup-my-project-id-123abcd-sa 1 11m apigee-connect-agent-my-project-id-123abcd-sa 1 11m apigee-datastore-default-sa 1 11m apigee-ingressgateway 1 11m apigee-ingressgateway-my-project-id-123abcd 1 11m apigee-ingressgateway-manager 1 11m apigee-init 1 11m apigee-mart-my-project-id-123abcd-sa 1 11m apigee-metrics-sa 1 11m apigee-mint-task-scheduler-my-project-id-123abcd-sa 1 11m apigee-redis-default-sa 1 11m apigee-redis-envoy-default-sa 1 11m apigee-runtime-my-project-id-env-name-234bcde-sa 1 11m apigee-synchronizer-my-project-id-env-name-234bcde-sa 1 11m apigee-udca-my-project-id-123abcd-sa 1 11m apigee-udca-my-project-id-env-name-234bcde-sa 1 11m apigee-watcher-my-project-id-123abcd-sa 1 11m default 1 11m
Google 서비스 계정으로 Kubernetes 서비스 계정에 주석 추가
각 Apigee 구성요소에 대해서는 해당 Kubernetes 서비스 계정에 구성요소에 대한 Google 서비스 계정으로 주석을 추가합니다.
조직 수준 구성요소
Apigee 조직에 대해 각 Kubernetes 서비스 계정의 인스턴스가 하나만 있습니다.
구성요소 | Kubernetes 서비스 계정 | Google 서비스 계정 |
---|---|---|
Cassandra | apigee-cassandra-backup |
apigee-cassandra |
apigee-cassandra-restore |
apigee-cassandra |
|
apigee-cassandra-schema-setup-my-project-id-num-id1-sa |
apigee-cassandra |
|
apigee-cassandra-schema-val-my-project-id-num-id1 |
apigee-cassandra |
|
apigee-cassandra-user-setup-my-project-id-num-id1-sa |
apigee-cassandra |
|
apigee-datastore-default-sa |
apigee-cassandra |
|
Apigee Connect | apigee-connect-agent-my-project-id-num-id1-sa |
apigee-mart |
MART | apigee-mart-my-project-id-num-id1-sa |
apigee-mart |
측정항목 | apigee-metrics-sa |
apigee-metrics |
UDCA(조직 수준) | apigee-udca-my-project-id-num-id1-sa |
apigee-udca |
Watcher | apigee-watcher-my-project-id-num-id1-sa |
apigee-watcher |
환경 수준 구성요소
각 Apigee 환경에 대한 각 Kubernetes 서비스 계정의 인스턴스가 하나씩 있습니다.
구성요소 | Kubernetes 서비스 계정 | Google 서비스 계정 |
---|---|---|
Apigee 런타임 | apigee-runtime-my-project-id-env-name-num-id2-sa |
apigee-runtime |
동기화 담당자 | apigee-synchronizer-my-project-id-env-name-num-id2-sa |
apigee-synchronizer |
UDCA(환경 수준) | apigee-udca-my-project-id-env-name-num-id2-sa |
apigee-udca |
다음 명령어에서 kubectl get sa -n $NAMESPACE
명령어가 반환한 Kubernetes 서비스 계정 이름을 사용하세요(예: apigee-cassandra-schema-val-hybrid-example-project-123abcd
).
이 절차에서는 Kubernetes 서비스 계정마다 다음을 수행합니다.
-
Kubernetes 서비스 계정 및 주 구성원 Google 서비스 계정을
roles/iam.workloadIdentityUser
IAM 역할에 바인딩합니다. - Google 서비스 계정으로 Kubernetes 서비스 계정에 주석을 추가합니다.
- 역할을 바인딩하고 서비스 계정에 주석을 추가합니다.
조직 수준 구성요소
조직 수준 구성요소에 대한 Kubernetes 서비스 계정에 주석을 추가합니다. Apigee 조직의 구성요소마다 이 작업을 한 번씩 수행해야 합니다.
- Cassandra
Cassandra 구성요소에는 6개의 연결된 Kubernetes 서비스 계정이 있습니다.
apigee-cassandra-backup
apigee-cassandra-restore
apigee-cassandra-schema-setup
apigee-cassandra-schema-val
(val
= 검증)apigee-cassandra-user-setup
apigee-datastore-default
프로덕션
apigee-cassandra-backup
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-cassandra"
KSA_NAME="apigee-cassandra-backup
"- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-restore
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-restore"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-setup-service-account-name
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-schema-setup-service-account-name"
IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-val-service-account-name
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-schema-val-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-user-setup-service-account-name
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-user-setup-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-datastore-default-sa
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-datastore-default-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
apigee-cassandra-backup
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-non-prod"
KSA_NAME="apigee-connect-agent-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-restore
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-restore"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-setup-service-account-name
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-schema-setup-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-val-service-account-name
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-schema-val-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-user-setup-service-account-name
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-user-setup-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
apigee-datastore-default-sa
KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-datastore-default-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Apigee Connect
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-mart"
KSA_NAME="apigee-connect-agent-service-account-name
"- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-connect-agent-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- MART
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-mart"
KSA_NAME="apigee-mart-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-mart-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Apigee 측정항목
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-metrics"
KSA_NAME="apigee-metrics-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-metrics-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- UDCA(조직 수준)
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-org-level-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-udca-org-level-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Apigee Watcher
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-watcher"
KSA_NAME="apigee-watcher-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-watcher-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
환경별로 다음을 수행합니다.
- 런타임
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-runtime"
KSA_NAME="apigee-runtime-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-runtime-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- 동기화 담당자
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-synchronizer"
KSA_NAME="apigee-synchronizer-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-synchronizer-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- UDCA(환경 수준)
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-env-level-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-udca-env-level-service-account-name"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com
- Cassandra
- 단계가 올바른지 확인합니다.
gcloud config set project $PROJECT_ID
테스트할 Kubernetes 서비스 계정을 선택합니다(예:
apigee-cassandra-backup
).KSA_NAME="kubernetes-service-account-name"
kubectl run --rm -it --image google/cloud-sdk:slim \ --namespace $NAMESPACE workload-identity-test\ -- gcloud auth list
명령어 프롬프트가 보이지 않으면 Enter를 눌러 보세요.
단계가 올바르게 실행되었다면 다음과 같은 응답이 표시되어야 합니다.
Credentialed Accounts ACTIVE ACCOUNT * GSA@PROJECT_ID.iam.gserviceaccount.com
- 이전 설치에서 업그레이드하는 경우 서비스 계정 비공개 키가 포함된 보안 비밀을 삭제합니다.
kubectl delete secrets -n $NAMESPACE $(k get secrets -n $NAMESPACE | grep svc-account | awk '{print $1}')
- 로그 확인:
kubectl logs -n $NAMESPACE -l app=apigee=synchronizer,env=$ENV_NAME,org=$ORG_NAME apigee-synchronizer
워크로드 아이덴티티를 사용하도록 설치 업그레이드
기존 하이브리드 설치에 워크로드 아이덴티티를 추가하려면 다음 안내를 따르세요.
다음은 Apigee용으로 생성된 Google 서비스 계정(GSA)을 보여주는 샘플입니다.
gcloud iam service-accounts list --filter "apigee"
DISPLAY NAME EMAIL DISABLED apigee-cassandra apigee-cassandra@PROJECT_ID.iam.gserviceaccount.com False apigee-connect apigee-connect@PROJECT_ID.iam.gserviceaccount.com False apigee-runtime apigee-runtime@PROJECT_ID.iam.gserviceaccount.com False apigee-metrics apigee-metrics@PROJECT_ID.iam.gserviceaccount.com False apigee-mart apigee-mart@PROJECT_ID.iam.gserviceaccount.com False apigee-watcher apigee-watcher@PROJECT_ID.iam.gserviceaccount.com False apigee-sync apigee-sync@PROJECT_ID.iam.gserviceaccount.com False apigee-udca apigee-udca@$PROJECT_ID.iam.gserviceaccount.com False
다음은 Apigee용으로 생성된 샘플 Kubernetes 서비스 계정(KSA)입니다.
kubectl get sa -n $NAMESPACE
apigee-cassandra-schema-setup-ORG_NAME-cb84b88-sa 1 xxd apigee-cassandra-user-setup-ORG_NAME-cb84b88-sa 1 xxd apigee-connect-agent-ORG_NAME-cb84b88-sa 1 xxd apigee-init 1 xxd apigee-mart-ORG_NAME-cb84b88-sa 1 xxd apigee-metrics-apigee-telemetry 1 xxd apigee-runtime-ORG_NAME-ENV_NAME-1d0dc5e-sa 1 xxd apigee-synchronizer-ORG_NAME-ENV_NAME-1d0dc5e-sa 1 xxd apigee-udca-ORG_NAME-ENV_NAME-1d0dc5e-sa 1 xxd apigee-watcher-ORG_NAME-cb84b88 1 xxd
- 각 서비스 계정에 워크로드 아이덴티티 역할을 추가합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
예를 들어 Apigee 동기화 담당자에 대한 권한을 설정한 경우 다음을 실행합니다.
export KSA_NAME=$(kubectl get sa -n apigee -l app=apigee-synchronizer,env=$ENV_NAME,org=$ORG_NAME --output=jsonpath={.items..metadata.name})
gcloud iam service-accounts add-iam-policy-binding --role roles/iam.workloadIdentityUser --member "serviceAccount:$PROJECT_ID.svc.id.goog[apigee/$KSA_NAME]" apigee-sync@$PROJECT_ID.iam.gserviceaccount.com
- 각 KSA에 GSA 세부정보를 주석으로 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE \ $KSA_NAME \ iam.gke.io/gcp-service-account=GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
예를 들어 Apigee 동기화 담당자에 대한 권한을 설정한 경우 다음을 실행합니다.
export KSA_NAME=$(kubectl get sa -n apigee -l app=apigee-synchronizer,env=$ENV_NAME,org=$ORG_NAME --output=jsonpath={.items..metadata.name})
kubectl annotate serviceaccount --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=apigee-sync@$PROJECT_ID.iam.gserviceaccount.com
- 단계가 올바른지 확인합니다.
gcloud config set project $PROJECT_ID
kubectl run --rm -it --image google/cloud-sdk:slim \ --namespace $NAMESPACE workload-identity-test\ -- gcloud auth list
명령어 프롬프트가 보이지 않으면 Enter를 눌러 보세요.
단계가 올바르게 실행되었다면 다음과 같은 응답이 표시되어야 합니다.
Credentialed Accounts ACTIVE ACCOUNT * GSA@PROJECT_ID.iam.gserviceaccount.com
- 이전 설치에서 업그레이드하는 경우 서비스 계정 비공개 키가 포함된 보안 비밀을 삭제합니다.
kubectl delete secrets -n $NAMESPACE $(k get secrets -n $NAMESPACE | grep svc-account | awk '{print $1}')
- 로그 확인:
kubectl logs -n $NAMESPACE -l app=apigee=synchronizer,env=$ENV_NAME,org=$ORG_NAME apigee-synchronizer