Membuat aplikasi Azure Active Directory

Di bagian ini, Anda akan membuat aplikasi Azure Active Directory (Azure AD) dan objek utama layanan. GKE di Azure menggunakan objek ini untuk menyimpan informasi konfigurasi di Azure.

  1. Untuk membuat aplikasi Azure AD, jalankan perintah berikut:

    az ad app create --display-name APPLICATION_NAME
    

    Ganti APPLICATION_NAME dengan nama untuk aplikasi Anda—misalnya, anthos-clusters.

  2. Untuk menyimpan ID aplikasi ke variabel lingkungan untuk digunakan di lain waktu, jalankan perintah berikut:

    APPLICATION_ID=$(az ad app list --all \
     --query "[?displayName=='APPLICATION_NAME'].appId" \
     --output tsv)
    

    Ganti APPLICATION_NAME dengan nama aplikasi Anda.

  3. Untuk membuat akun utama layanan untuk aplikasi, jalankan perintah berikut:

    az ad sp create --id "${APPLICATION_ID}"
    

Menyiapkan Workload Identity federation

Federasi identitas workload memungkinkan GKE di Azure melakukan autentikasi ke Azure menggunakan akun layanan Google. Metode autentikasi ke Azure ini lebih sederhana daripada metode autentikasi AzureClient lama, sehingga Anda harus mengelola sertifikat dan menguploadnya secara manual ke Azure Active Directory (AD).

Untuk mengonfigurasi kredensial identitas gabungan di aplikasi Azure AD Anda, jalankan perintah berikut. Perlu diperhatikan bahwa Anda dapat menambahkan hingga dua puluh kredensial ke setiap aplikasi Azure AD.

  1. Buat file JSON bernama credential.json.

    {
      "name": "CREDENTIAL_NAME",
      "issuer": "https://accounts.google.com",
      "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com",
      "audiences": ["api://AzureADTokenExchange"],
      "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account."
    }
    
    • CREDENTIAL_NAME: nama kredensial.
    • PROJECT_NUMBER: jumlah project Google Cloud yang menghosting cluster.
  2. Buat kredensial identitas gabungan di aplikasi Azure AD:

    az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json
    

Untuk mengetahui detail selengkapnya, lihat dokumentasi Azure Azure AD workload identity federation dengan Google Cloud.

Anda juga dapat menyediakan kredensial identitas gabungan Azure menggunakan Terraform. Untuk mengetahui detailnya, lihat azuread_application_federated_identity_credential.

Langkah selanjutnya