Topik ini menjelaskan cara mengaktifkan Workload Identity untuk penginstalan campuran Apigee di platform AKS dan EKS.
Ringkasan
Workload identity federation memungkinkan aplikasi yang berjalan di luar Google Cloud meniru akun layanan Google Cloud Platform menggunakan kredensial dari penyedia identitas eksternal.
Menggunakan workload identity federation dapat membantu Anda meningkatkan keamanan dengan memungkinkan aplikasi menggunakan mekanisme autentikasi yang disediakan oleh lingkungan eksternal dan dapat membantu mengganti kunci akun layanan.
Untuk ringkasan, lihat Praktik terbaik untuk menggunakan Workload Identity Federation.
Menyiapkan Workload Identity Federation
Untuk menggunakan Workload Identity Federation dengan Apigee hybrid, konfigurasikan cluster Anda terlebih dahulu, lalu terapkan fitur tersebut ke penginstalan Apigee hybrid.
Konfigurasikan cluster Anda untuk menggunakan Workload Identity Federation.
Ikuti petunjuk Google Cloud untuk Mengonfigurasi Workload Identity Federation untuk Kubernetes, dengan modifikasi berikut:
-
Cantumkan akun layanan IAM dan akun layanan Kubernetes Anda dengan perintah berikut:
-
Akun layanan IAM: Anda kemungkinan besar telah membuat akun layanan IAM (juga disebut "akun layanan Google") selama penginstalan awal Apigee hybrid dengan alat
create-service-account
. Lihat Tentang akun layanan untuk mengetahui daftar akun layanan IAM yang diperlukan oleh Apigee hybrid.Anda dapat melihat daftar akun layanan IAM di project dengan perintah berikut:
gcloud iam service-accounts list --project PROJECT_ID
-
Akun layanan Kubernetes: Diagram campuran Apigee membuat akun layanan Kubernetes yang diperlukan untuk setiap komponen saat Anda menjalankan perintah
helm install
atauhelm update
.Anda dapat melihat akun layanan Kubernetes di cluster dengan perintah
kubectl get sa
:kubectl get sa -n APIGEE_NAMESPACE
kubectl get sa -n apigee-system
-
Akun layanan IAM: Anda kemungkinan besar telah membuat akun layanan IAM (juga disebut "akun layanan Google") selama penginstalan awal Apigee hybrid dengan alat
-
Pada langkah Mengonfigurasi Workload Identity Federation, audiens default untuk penyedia dan Workload Identity pool yang dibuat adalah sebagai berikut. Gunakan default ini atau tetapkan audiens yang diharapkan kustom, dan simpan nilai ini untuk digunakan nanti.
https://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
-
Berhenti setelah langkah 1 di bagian Men-deploy workload Kubernetes. Akan ada satu file konfigurasi kredensial untuk setiap akun layanan Google. Simpan setiap file konfigurasi kredensial dan simpan jalur yang dimasukkan untuk parameter
--credential-source-file
, misalnya:/var/run/service-account/token
.
Mengonfigurasi Apigee hybrid untuk menggunakan Workload Identity Federation
-
Salin file sumber kredensial dan file output (
credential-configuration.json
) ke dalam direktori diagram berikut. Ini adalah nilai yang Anda berikan di langkah 1 pada bagian Men-deploy workload Kubernetes.apigee-datastore/
apigee-env
apigee-org/
apigee-telemetry/
-
Lakukan perubahan global berikut pada file penggantian cluster Anda:
gcp: workloadIdentity: enabled: false # must be set to false to use Workload Identity Federation federatedWorkloadIdentity: enabled: true audience: "AUDIENCE" credentialSourceFile: "CREDENTIAL_SOURCE_FILE"
Dengan keterangan:
-
AUDIENCE adalah audiens yang diizinkan dari Penyedia Identitas Beban Kerja, nilai di bagian
.audience
dalam file json konfigurasi kredensial yang Anda konfigurasi di langkah 1 di bagian Men-deploy beban kerja Kubernetes. -
CREDENTIAL_SOURCE_FILE adalah nama file dan jalur ke file sumber kredensial yang digunakan oleh Workload Identity Federation untuk mendapatkan kredensial akun layanan. Ini adalah nilai yang Anda berikan untuk
credential-source-file
saat mengonfigurasi Workload Identity Federation dengan perintahcreate-cred-config
di langkah 1 pada bagian Men-deploy workload Kubernetes. Contoh:
Contoh:
gcp: workloadIdentity: enabled: false federatedWorkloadIdentity: enabled: true audience: "//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/aws-pool/providers/aws-provider" credentialSourceFile: "/var/run/service-account/token"
-
AUDIENCE adalah audiens yang diizinkan dari Penyedia Identitas Beban Kerja, nilai di bagian
-
Konfigurasikan penggantian untuk setiap komponen menggunakan Workload Identity Federation. Pilih petunjuk untuk file sertifikat, secret Kubernetes, atau Vault yang sesuai untuk penginstalan Anda.
File sertifikat
Ganti nilai
serviceAccountPath
dengan file sumber kredensial. Ini harus berupa jalur yang relatif terhadap direktori diagram. Contoh:udca: serviceAccountPath: fwi/credential-configuration.json
Rahasia K8s
-
Buat secret Kubernetes baru menggunakan file sumber kredensial.
kubectl create secret -n apigee generic SECRET_NAME --from-file="client_secret.json=CREDENTIAL_CONFIGURATION_FILE"
Contoh:
kubectl create secret -n apigee generic udca-fwi-secret --from-file="client_secret.json=./fwi/credential-configuration.json"
-
Ganti nilai
serviceAccountRef
dengan secret baru. Contoh:udca: serviceAccountRef: udca-fwi-secret
Vault
Perbarui kunci akun layanan,
SAKEY
di Vault dengan file sumber kredensial. Misalnya, untuk UDCA (prosedurnya serupa untuk semua komponen):SAKEY=$(cat ./fwi/credential-configuration.json); kubectl -n apigee exec vault-0 -- vault kv patch secret/apigee/orgsakeys udca="$SAKEY"
-
Buat secret Kubernetes baru menggunakan file sumber kredensial.
-
Terapkan perubahan pada setiap komponen yang terpengaruh dengan perintah
helm update
:Jika Anda menggunakan Vault untuk pertama kalinya dengan cluster ini, perbarui diagram
apigee-operator
:helm upgrade operator apigee-operator/ \ --namespace apigee-system \ --atomic \ -f overrides.yaml
Perbarui diagram lainnya yang terpengaruh dalam urutan berikut:
helm upgrade datastore apigee-datastore/ \ --namespace apigee \ --atomic \ -f overrides.yaml
helm upgrade telemetry apigee-telemetry/ \ --namespace apigee \ --atomic \ -f overrides.yaml
helm upgrade $ORG_NAME apigee-org/ \ --namespace apigee \ --atomic \ -f overrides.yaml
Perbarui diagram
apigee-env
untuk setiap env, dengan mengganti ENV_NAME setiap kali:helm upgrade $ENV_NAME apigee-env/ \ --namespace apigee \ --atomic \ --set env=$ENV_NAME \ -f overrides.yaml
Lihat Referensi Helm Apigee hybrid untuk mengetahui daftar komponen dan diagram yang sesuai.
Untuk informasi selengkapnya tentang Workload Identity Federation dan praktik terbaik, lihat Praktik terbaik untuk menggunakan workload identity federation.