Membuat aplikasi Azure Active Directory
Di bagian ini, Anda akan membuat aplikasi Azure Active Directory (Azure AD) dan objek utama layanan. GKE di Azure menggunakan objek ini untuk menyimpan informasi konfigurasi di Azure.
Untuk membuat aplikasi Azure AD, jalankan perintah berikut:
az ad app create --display-name APPLICATION_NAME
Ganti
APPLICATION_NAME
dengan nama untuk aplikasi Anda—misalnya,anthos-clusters
.Untuk menyimpan ID aplikasi ke variabel lingkungan untuk digunakan di lain waktu, jalankan perintah berikut:
APPLICATION_ID=$(az ad app list --all \ --query "[?displayName=='APPLICATION_NAME'].appId" \ --output tsv)
Ganti
APPLICATION_NAME
dengan nama aplikasi Anda.Untuk membuat akun utama layanan untuk aplikasi, jalankan perintah berikut:
az ad sp create --id "${APPLICATION_ID}"
Menyiapkan Workload Identity federation
Federasi identitas workload memungkinkan GKE di Azure melakukan autentikasi ke Azure menggunakan akun layanan Google. Metode autentikasi ke Azure ini lebih sederhana daripada metode autentikasi AzureClient lama, sehingga Anda harus mengelola sertifikat dan menguploadnya secara manual ke Azure Active Directory (AD).
Untuk mengonfigurasi kredensial identitas gabungan di aplikasi Azure AD Anda, jalankan perintah berikut. Perlu diperhatikan bahwa Anda dapat menambahkan hingga dua puluh kredensial ke setiap aplikasi Azure AD.
Buat file JSON bernama
credential.json
.{ "name": "CREDENTIAL_NAME", "issuer": "https://accounts.google.com", "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com", "audiences": ["api://AzureADTokenExchange"], "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account." }
CREDENTIAL_NAME
: nama kredensial.PROJECT_NUMBER
: jumlah project Google Cloud yang menghosting cluster.
Buat kredensial identitas gabungan di aplikasi Azure AD:
az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json
Untuk mengetahui detail selengkapnya, lihat dokumentasi Azure Azure AD workload identity federation dengan Google Cloud.
Anda juga dapat menyediakan kredensial identitas gabungan Azure menggunakan Terraform. Untuk mengetahui detailnya, lihat azuread_application_federated_identity_credential.