Créer un certificat client

GKE sur Azure s'authentifie auprès d'Azure avec une ressource AzureClient. Lorsque vous créez un client, Google génère une paire de clés. Vous importez la clé publique dans Azure Active Directory (Azure AD). L'API GKE Multi-Cloud utilise AzureClient pour s'authentifier en tant que compte de service principal de l'application.

Vous pouvez utiliser la même ressource AzureClient pour créer plusieurs clusters dans le même projet Google Cloud. Si vous disposez déjà d'une ressource AzureClient, passez à l'étape Créer une paire de clés SSH.

Pour créer un AzureClient, exécutez les commandes suivantes :

  1. Créez des variables d'environnement pour votre locataire Azure et vos ID d'application :

    export SUBSCRIPTION_ID=$(az account show --query "id" --output tsv)
    export TENANT_ID=$(az account list \
      --query "[?id=='${SUBSCRIPTION_ID}'].{tenantId:tenantId}" --output tsv)
    export APPLICATION_ID=$(az ad app list --all \
      --query "[?displayName=='APPLICATION_NAME'].appId" --output tsv)
    

    Remplacez APPLICATION_NAME par le nom d'application Azure AD que vous avez utilisé pour satisfaire les prérequis.

  2. Créez le client :

    gcloud container azure clients create CLIENT_NAME \
      --location=GOOGLE_CLOUD_LOCATION \
      --tenant-id="${TENANT_ID}" \
      --application-id="${APPLICATION_ID}"
    

    Remplacez les éléments suivants :

  3. Obtenez le certificat d'un AzureClient et enregistrez-le dans une variable d'environnement :

     CERT=$(gcloud container azure clients get-public-cert --location=GOOGLE_CLOUD_LOCATION \
          CLIENT_NAME)
    

    Remplacez les éléments suivants :

    • GOOGLE_CLOUD_LOCATION
    • CLIENT_NAME
  4. Importez le certificat dans votre application sur Azure AD :

     az ad app credential reset --id "${APPLICATION_ID}" --cert "${CERT}" --append
    
  5. Une fois le certificat importé et avant de créer un cluster, attendez au moins une minute pour que le certificat soit prêt à être utilisé. Si la commande échoue, vous pouvez réessayer.

Étape suivante