Activer la fédération d'identité de charge de travail sur AKS et EKS

Cet article explique comment activer Workload Identity pour les installations Apigee hybrid sur les plates-formes AKS et AKS.

Présentation

La fédération d'identité de charge de travail permet aux applications exécutées en dehors de Google Cloud d'emprunter l'identité d'un compte de service Google Cloud Platform en utilisant les identifiants d'un fournisseur d'identité externe.

La fédération d'identité de charge de travail peut vous aider à améliorer la sécurité en permettant aux applications d'utiliser les mécanismes d'authentification fournis par l'environnement externe et à remplacer les clés de compte de service.

Pour en savoir plus, consultez la page Bonnes pratiques d'utilisation de la fédération d'identité de charge de travail.

Configurer une fédération d'identité de charge de travail

Pour utiliser la fédération d'identité de charge de travail avec Apigee hybrid, commencez par configurer votre cluster, puis appliquez la fonctionnalité à votre installation Apigee hybrid.

Configurez votre cluster pour utiliser la fédération d'identité de charge de travail.

Suivez les instructions Google Cloud pour configurer la fédération d'identité de charge de travail pour Kubernetes, en tenant compte des modifications suivantes :

À l'étape Configurer la fédération d'identité de charge de travail, l'audience par défaut des pools et fournisseurs Workload Identity créés est la suivante. Utilisez cette valeur par défaut ou définissez une audience attendue personnalisée, puis enregistrez cette valeur pour une utilisation ultérieure.
```
https://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
```
Vous n'avez pas besoin de suivre la procédure décrite sous Créer une paire de comptes de service, car les comptes de service dont vous avez besoin doivent déjà avoir été créés :
- Comptes de service IAM : vous avez probablement déjà créé les comptes de service IAM (également appelés "comptes de service Google") lors de l'installation initiale d'Apigee hybrid avec l'outil create-service-account. Pour obtenir la liste des comptes de service IAM requis par Apigee hybrid, consultez la section À propos des comptes de service.
  Vous pouvez afficher la liste des comptes de service IAM de votre projet à l'aide de la commande suivante :
```
gcloud iam service-accounts list --project PROJECT_ID
```
- Comptes de service Kubernetes : les graphiques Apigee hybrid créent les comptes de service Kubernetes nécessaires pour chaque composant lorsque vous exécutez la commande helm install ou helm update.
  Vous pouvez afficher les comptes de service Kubernetes dans votre cluster à l'aide des commandes kubectl get sa :
```
kubectl get sa -n APIGEE_NAMESPACE
kubectl get sa -n apigee-system
```
Arrêtez après l'étape 1 sous Déployer une charge de travail Kubernetes. Enregistrez le fichier de configuration des identifiants, puis enregistrez le chemin d'accès saisi pour le paramètre --credential-source-file, par exemple : /var/run/service-account/token.
Remarque : Vous pouvez également trouver les valeurs de audience et credentialSourceFile dans le fichier JSON de configuration des identifiants, sous les chemins d'accès .audience et .credential_source.file respectivement. Vous aurez besoin de ces valeurs dans le fichier de remplacement afin de configurer Apigee hybrid.

Configurer Apigee hybrid pour utiliser la fédération d'identité de charge de travail

Conseil : Vous pouvez configurer votre installation hybride de sorte qu'elle utilise la fédération d'identité de charge de travail pour tout ou partie des composants. Par exemple, l'UDCA peut utiliser la fédération d'identité de charge de travail, tandis que le synchronisateur utilise des comptes de service Google IAM, ou inversement.

Copiez le fichier source des identifiants et le fichier de sortie (credential-configuration.json) dans les répertoires de graphiques suivants. Il s'agit des valeurs que vous avez fournies à l'étape 1 sous Déployer une charge de travail Kubernetes.
- apigee-datastore/
- apigee-env
- apigee-org/
- apigee-telemetry/
TIp : Vous pouvez utiliser un sous-répertoire pour ces fichiers, par exemple : apigee-datastore/fwi/
Apportez les modifications globales suivantes au fichier de remplacement de votre cluster :
```
gcp:
  workloadIdentity:
    enabled: false # must be set to false to use Workload Identity Federation
  federatedWorkloadIdentity:
    enabled: true
    audience: "AUDIENCE"
    credentialSourceFile: "CREDENTIAL_SOURCE_FILE"
```
Où :
- AUDIENCE correspond à l'audience autorisée du fournisseur d'identité de charge de travail, la valeur sous .audience dans le fichier de configuration des identifiants JSON que vous avez configuré dans l'Étape 1 sous Déployer une charge de travail Kubernetes.
- CREDENTIAL_SOURCE_FILE est le nom de fichier et le chemin d'accès au fichier source d'identifiants utilisé par la fédération d'identité de charge de travail pour obtenir les identifiants des comptes de service. Il s'agit de la valeur que vous fournissez pour credential-source-file lorsque vous configurez la fédération d'identité de charge de travail avec la commande create-cred-config à l'étape 1 sous Déployer une charge de travail Kubernetes. Par exemple :
Configurez les remplacements pour chaque composant à l'aide de la fédération d'identité de charge de travail. Sélectionnez les instructions correspondant aux fichiers de certificat, aux secrets Kubernetes ou à Vault, en fonction de votre installation. <
Fichier de certification

Remplacez la valeur de serviceAccountPath par le fichier de source des identifiants. Il doit s'agir du chemin relatif au répertoire de chart. Par exemple :
```
udca:
  serviceAccountPath: fwi/credential-configuration.json
```
Secret K8s
1. Créez un secret Kubernetes à l'aide du fichier de source des identifiants.
```
kubectl create secret -n apigee generic SECRET_NAME --from-file="client_secret.json=CREDENTIAL_CONFIGURATION_FILE"
```
  Par exemple :
```
kubectl create secret -n apigee generic udca-fwi-secret --from-file="client_secret.json=./fwi/credential-configuration.json"
```
2. Remplacez la valeur de serviceAccountRef par le nouveau secret. Exemple :
```
udca:
  serviceAccountRef: udca-fwi-secret
```
  .
Vault

Mettez à jour la clé de compte de service SAKEY dans Vault avec le fichier de source des identifiants. Par exemple, pour UDCA (la procédure est similaire pour tous les composants) :
```
SAKEY=$(cat ./fwi/credential-configuration.json); kubectl -n apigee exec vault-0 -- vault kv patch secret/apigee/orgsakeys udca="$SAKEY"
```

Appliquez les modifications à chaque composant concerné à l'aide de la commande helm update :

Si vous utilisez Vault pour la première fois avec ce cluster, mettez à jour le graphique apigee-operator :

helm upgrade operator apigee-operator/ \
  --namespace apigee-system \
  --atomic \
  -f overrides.yaml

Mettez à jour les autres graphiques concernés dans l'ordre suivant :

helm upgrade datastore apigee-datastore/ \
  --namespace apigee \
  --atomic \
  -f overrides.yaml

helm upgrade telemetry apigee-telemetry/ \
  --namespace apigee \
  --atomic \
  -f overrides.yaml

helm upgrade $ORG_NAME apigee-org/ \
  --namespace apigee \
  --atomic \
  -f overrides.yaml

Mettez à jour le chart apigee-env pour chaque environnement, en remplaçant ENV_NAME à chaque fois :

helm upgrade $ENV_NAME apigee-env/ \
  --namespace apigee \
  --atomic \
  --set env=$ENV_NAME \
  -f overrides.yaml

Consultez la documentation de référence sur Apigee hybrid Helm pour obtenir la liste des composants et leurs graphiques correspondants.

Pour en savoir plus sur la fédération d'identité de charge de travail et les bonnes pratiques, consultez la page Bonnes pratiques d'utilisation de la fédération d'identité de charge de travail.