Das in dieser Dokumentation beschriebene Produkt GKE on Azure befindet sich jetzt im Wartungsmodus und wird am 17. März 2027 eingestellt.

Diese Seite wurde von der Cloud Translation API übersetzt.

Azure Active Directory-Anwendung erstellen

In diesem Abschnitt erstellen Sie eine Anwendung und ein Diensthauptkonto für Azure Active Directory (Azure AD). GKE on Azure verwendet diese Objekte zum Speichern von Konfigurationsinformationen in Azure.

Erstellen Sie mit folgendem Befehl die Azure AD-Anwendung:
```
az ad app create --display-name APPLICATION_NAME
```
Ersetzen Sie APPLICATION_NAME durch einen Namen für Ihre Anwendung, z. B. anthos-clusters.
Führen Sie den folgenden Befehl aus, um die Anwendungs-ID zur späteren Verwendung in einer Umgebungsvariablen zu speichern:
```
APPLICATION_ID=$(az ad app list --all \
 --query "[?displayName=='APPLICATION_NAME'].appId" \
 --output tsv)
```
Ersetzen Sie APPLICATION_NAME durch den Namen der Anwendung.
Führen Sie den folgenden Befehl aus, um ein Diensthauptkonto für die Anwendung zu erstellen:
```
az ad sp create --id "${APPLICATION_ID}"
```

Identitätsföderation von Arbeitslasten einrichten

Mit der Identitätsföderation von Arbeitslasten kann sich GKE on Azure mit einem Google-Dienstkonto bei Azure authentifizieren. Diese Methode der Authentifizierung bei Azure ist einfacher als die bisherige AzureClient-Authentifizierungsmethode, bei der Sie Zertifikate verwalten und manuell in Azure Active Directory (AD) hochladen müssen.

Führen Sie die folgenden Befehle aus, um Anmeldedaten für eine föderierte Identität in Ihrer Azure AD-Anwendung zu konfigurieren. Sie können jeder Azure AD-Anwendung bis zu 20 Anmeldedaten hinzufügen.

Erstellen Sie eine JSON-Datei mit dem Namen credential.json.

{
  "name": "CREDENTIAL_NAME",
  "issuer": "https://accounts.google.com",
  "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com",
  "audiences": ["api://AzureADTokenExchange"],
  "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account."
}

CREDENTIAL_NAME: der Name der Anmeldedaten.
PROJECT_NUMBER: die Nummer des Google Cloud Projekts, in dem der Cluster gehostet wird.

Erstellen Sie Anmeldedaten für eine föderierte Identität in der Azure AD-Anwendung:

az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json

Weitere Informationen finden Sie in der Azure-Dokumentation unter Azure AD-Workload Identity-Föderation mit Google Cloud.

Sie können die Anmeldedaten für die föderierte Azure-Identität auch mit Terraform bereitstellen. Weitere Informationen finden Sie unter azuread_application_federated_identity_credential.

Nächste Schritte

Azure-Rollenzuweisungen erstellen