Attivazione della federazione delle identità per i carichi di lavoro su AKS ed EKS

Questo argomento spiega come attivare Workload Identity per le installazioni di Apigee hybrid sulle piattaforme AKS ed EKS.

Panoramica

La federazione delle identità per i carichi di lavoro consente alle applicazioni in esecuzione all'esterno di Google Cloud di rubare l'identità di un account di servizio Google Cloud Platform utilizzando le credenziali di un provider di identità esterno.

L'utilizzo della federazione delle identità per i carichi di lavoro può aiutarti a migliorare la sicurezza consentendo alle applicazioni di utilizzare i meccanismi di autenticazione forniti dall'ambiente esterno e può aiutarti a sostituire le chiavi degli account di servizio.

Per una panoramica, consulta le best practice per l'utilizzo della federazione delle identità di lavoro.

Configurare la federazione delle identità per i carichi di lavoro

Per utilizzare la federazione delle identità per i carichi di lavoro con Apigee hybrid, configura prima il cluster e poi applica la funzionalità all'installazione di Apigee hybrid.

Configura il cluster in modo che utilizzi la federazione delle identità per i carichi di lavoro.

Segui le istruzioni di Google Cloud per configurare la federazione delle identità per i carichi di lavoro per Kubernetes, con le seguenti modifiche:

  • Elenca gli account di servizio IAM e Kubernetes con i seguenti comandi:
    • Account di servizio IAM:molto probabilmente hai già creato gli account di servizio IAM (chiamati anche "account di servizio Google") durante l'installazione iniziale di Apigee Hybrid con lo strumento create-service-account. Consulta Informazioni sugli account di servizio per un elenco degli account di servizio IAM necessari per Apigee Hybrid.

      Puoi visualizzare un elenco di account di servizio IAM nel tuo progetto con il seguente comando:

      gcloud iam service-accounts list --project PROJECT_ID
    • Account di servizio Kubernetes:i grafici ibridi Apigee creano gli account di servizio Kubernetes necessari per ogni componente quando esegui il comando helm install o helm update.

      Puoi visualizzare gli account di servizio Kubernetes nel tuo cluster con i comandi kubectl get sa:

      kubectl get sa -n APIGEE_NAMESPACE
  • Nel passaggio Configura la federazione delle identità per i carichi di lavoro, il segmento di pubblico predefinito per i provider e i pool di Workload Identity creati è il seguente. Utilizza questo valore predefinito o imposta un segmento di pubblico previsto personalizzato e salvalo per un uso futuro.
    https://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
  • Interrompi dopo il passaggio 1 in Esegui il deployment di un carico di lavoro Kubernetes. Esiste un file di configurazione delle credenziali per ogni account di servizio Google. Salva ogni file di configurazione delle credenziali e il percorso inserito per il parametro --credential-source-file, ad esempio: /var/run/service-account/token.
  • ß

Configurare Apigee hybrid per utilizzare la federazione delle identità per i carichi di lavoro

  1. Copia il file di origine delle credenziali e il file di output (credential-configuration.json) nelle seguenti directory dei grafici. Questi sono i valori che hai fornito nel passaggio 1 in Eseguire il deployment di un carico di lavoro Kubernetes.
    • apigee-datastore/
    • apigee-env
    • apigee-org/
    • apigee-telemetry/
  2. Apporta le seguenti modifiche globali al file delle sostituzioni del cluster:
    gcp:
      workloadIdentity:
        enabled: false # must be set to false to use Workload Identity Federation
      federatedWorkloadIdentity:
        enabled: true
        audience: "AUDIENCE"
        credentialSourceFile: "CREDENTIAL_SOURCE_FILE"
    

    Dove:

    • AUDIENCE è il pubblico consentito del provider di identità per i workload, il valore in .audience nel file JSON di configurazione delle credenziali che hai configurato nel passaggio 1 in Esegui il deployment di un carico di lavoro Kubernetes.
    • CREDENTIAL_SOURCE_FILE è il nome del file e il percorso del file di origine delle credenziali utilizzato da Workload Identity Federation per ottenere le credenziali per gli account di servizio. Questo è il valore che fornisci per credential-source-file quando configuri la federazione delle identità per i carichi di lavoro con il comando create-cred-config nel passaggio 1 della sezione Eseguire il deployment di un carico di lavoro Kubernetes. Ad esempio:
    • Ad esempio:

      gcp:
        workloadIdentity:
          enabled: false
        federatedWorkloadIdentity:
          enabled: true
          audience: "//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/aws-pool/providers/aws-provider"
          credentialSourceFile: "/var/run/service-account/token"
      
  3. Configura le sostituzioni per ogni componente utilizzando la federazione delle identità per i carichi di lavoro. Seleziona le istruzioni per i file di certificati, i secret di Kubernetes o Vault in base alla tua installazione.

    File del certificato

    Sostituisci il valore di serviceAccountPath con il file di origine delle credenziali. Deve essere il percorso relativo alla directory del grafico. Ad esempio:

    udca:
      serviceAccountPath: fwi/credential-configuration.json
    

    Secret K8s

    1. Crea un nuovo secret Kubernetes utilizzando il file di origine delle credenziali.
      kubectl create secret -n APIGEE_NAMESPACE generic SECRET_NAME --from-file="client_secret.json=CREDENTIAL_CONFIGURATION_FILE"

      Ad esempio:

      kubectl create secret -n apigee generic udca-fwi-secret --from-file="client_secret.json=./fwi/credential-configuration.json"
    2. Sostituisci il valore di serviceAccountRef con il nuovo secret. Ad esempio:
      udca:
        serviceAccountRef: udca-fwi-secret
      

    Vault

    Aggiorna la chiave dell'account di servizio SAKEY in Vault con il file della fonte delle credenziali. Ad esempio, per UDCA (la procedura è simile per tutti i componenti):

    SAKEY=$(cat ./fwi/credential-configuration.json); kubectl -n APIGEE_NAMESPACE exec vault-0 -- vault kv patch secret/apigee/orgsakeys udca="$SAKEY"
  4. Applica le modifiche a ogni componente interessato con il comando helm update:

    Se è la prima volta che utilizzi Vault con questo cluster, aggiorna il grafico apigee-operator:

    helm upgrade operator apigee-operator/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      -f overrides.yaml
    

    Aggiorna gli altri grafici interessati nel seguente ordine:

    helm upgrade datastore apigee-datastore/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      -f overrides.yaml
    
    helm upgrade telemetry apigee-telemetry/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      -f overrides.yaml
    
    helm upgrade $ORG_NAME apigee-org/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      -f overrides.yaml
    

    Aggiorna il grafico apigee-env per ogni env, sostituendo ENV_NAME ogni volta:

    helm upgrade $ENV_NAME apigee-env/ \
      --namespace APIGEE_NAMESPACE \
      --atomic \
      --set env=$ENV_NAME \
      -f overrides.yaml
    

    Consulta la documentazione di riferimento di Helm per Apigee hybrid per un elenco dei componenti e dei relativi grafici.

Per ulteriori informazioni sulla federazione delle identità per i workload e sulle best practice, consulta Best practice per l'utilizzo della federazione delle identità per i workload.