이 주제에서는 AKS 및 EKS 플랫폼에서 Apigee Hybrid 설치에 대해 워크로드 아이덴티티를 사용 설정하는 방법을 설명합니다.
개요
워크로드 아이덴티티 제휴를 사용하면 Google Cloud 외부에서 실행되는 애플리케이션이 외부 ID 공급업체의 사용자 인증 정보를 사용하여 Google Cloud Platform 서비스 계정을 가장할 수 있습니다.
워크로드 아이덴티티 제휴를 사용하면 외부 환경에서 제공되는 인증 메커니즘을 애플리케이션에 사용함으로써 보안을 향상시키는 데 도움이 될 수 있고 서비스 계정 키 교체가 가능합니다.
개요는 워크로드 아이덴티티 제휴 사용 권장사항을 참조하세요.
워크로드 아이덴티티 제휴 설정
Apigee Hybrid와 함께 워크로드 아이덴티티 제휴를 사용하려면 먼저 클러스터를 구성한 다음 Apigee Hybrid 설치에 기능을 적용합니다.
워크로드 아이덴티티 제휴를 사용하도록 클러스터 구성
Google Cloud 안내에 따라 다음 수정을 사용해서 Kubernetes용 워크로드 아이덴티티 제휴를 구성합니다.
-
워크로드 아이덴티티 제휴 구성 단계에서 생성된 워크로드 아이덴티티 풀과 공급업체의 기본 대상은 다음과 같습니다. 이 기본 대상을 사용하거나 예상한 커스텀 대상을 설정하고 나중에 사용할 수 있도록 이 값을 저장하세요.
https://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
-
필요한 서비스 계정이 이미 생성되어 있어야 하므로 서비스 계정 쌍 만들기의 단계를 수행할 필요가 없습니다.
-
IAM 서비스 계정:
create-service-account
도구를 사용하여 Apigee Hybrid를 처음 설치하는 동안 IAM 서비스 계정('Google 서비스 계정'이라고도 함)을 이미 만들었을 수 있습니다. Apigee Hybrid에 필요한 IAM 서비스 계정 목록은 서비스 계정 정보를 참조하세요.다음 명령어를 사용하여 프로젝트의 IAM 서비스 계정 목록을 볼 수 있습니다.
gcloud iam service-accounts list --project PROJECT_ID
-
Kubernetes 서비스 계정: Apigee Hybrid 차트는
helm install
또는helm update
명령어를 실행할 때 각 구성요소에 필요한 Kubernetes 서비스 계정을 만듭니다.kubectl get sa
명령어를 사용하여 클러스터의 Kubernetes 서비스 계정을 확인할 수 있습니다.kubectl get sa -n APIGEE_NAMESPACE
kubectl get sa -n apigee-system
-
IAM 서비스 계정:
-
Kubernetes 워크로드 배포의 1단계 후에 중지합니다. 사용자 인증 정보 구성 파일을 저장하고
--credential-source-file
매개변수에 입력된 경로(예:/var/run/service-account/token
)를 저장합니다.