Clientzertifikat erstellen

GKE on Azure authentifiziert sich mit einer AzureClient-Ressource bei Azure. Wenn Sie einen Client erstellen, generiert Google ein Schlüsselpaar. Der öffentliche Schlüssel wird in Azure Active Directory (Azure AD) hochgeladen. Die GKE Multi-Cloud API verwendet den AzureClient, um sich als Diensthauptkonto der Anwendung zu authentifizieren.

Sie können denselben AzureClient verwenden, um mehrere Cluster im selben Google Cloud-Projekt zu erstellen. Wenn Sie bereits einen AzureClient haben, fahren Sie mit SSH-Schlüsselpaar erstellen fort.

Führen Sie die folgenden Befehle aus, um einen AzureClient zu erstellen:

  1. Legen Sie Umgebungsvariablen mit Ihrer Azure-Mandanten- und -Anwendungs-ID fest:

    export SUBSCRIPTION_ID=$(az account show --query "id" --output tsv)
export TENANT_ID=$(az account list \
  --query "[?id=='${SUBSCRIPTION_ID}'].{tenantId:tenantId}" --output tsv)
export APPLICATION_ID=$(az ad app list --all \
  --query "[?displayName=='APPLICATION_NAME'].appId" --output tsv)

    Ersetzen Sie APPLICATION_NAME durch den Azure AD-Anwendungsnamen, den Sie beim Erfüllen der Voraussetzungen verwendet haben.

  2. Erstellen Sie den Client:

    gcloud container azure clients create CLIENT_NAME \
  --location=GOOGLE_CLOUD_LOCATION \
  --tenant-id="${TENANT_ID}" \
  --application-id="${APPLICATION_ID}"

    Dabei gilt:

  3. Rufen Sie das Zertifikat aus einem AzureClient ab und speichern Sie es in einer Umgebungsvariablen:

     CERT=$(gcloud container azure clients get-public-cert --location=GOOGLE_CLOUD_LOCATION \
      CLIENT_NAME)

    Dabei gilt:

    • GOOGLE_CLOUD_LOCATION
    • CLIENT_NAME

  4. Laden Sie das Zertifikat in Ihre Anwendung in Azure AD hoch:

     az ad app credential reset --id "${APPLICATION_ID}" --cert "${CERT}" --append

  5. Warten Sie nach dem Hochladen des Zertifikats und vor dem Erstellen eines Clusters mindestens eine Minute, bis das Zertifikat einsatzbereit ist. Wenn der Befehl fehlschlägt, können Sie es noch einmal versuchen.

Nächste Schritte