Créer un certificat client
GKE sur Azure s'authentifie auprès d'Azure avec une ressource AzureClient. Lorsque vous créez un client, Google génère une paire de clés. Vous importez la clé publique dans Azure Active Directory (Azure AD). L'API GKE Multi-Cloud utilise AzureClient pour s'authentifier en tant que compte de service principal de l'application.
Vous pouvez utiliser la même ressource AzureClient pour créer plusieurs clusters dans le même projet Google Cloud. Si vous disposez déjà d'une ressource AzureClient, passez à l'étape Créer une paire de clés SSH.
Pour créer un AzureClient, exécutez les commandes suivantes :
Créez des variables d'environnement pour votre locataire Azure et vos ID d'application :
export SUBSCRIPTION_ID=$(az account show --query "id" --output tsv) export TENANT_ID=$(az account list \ --query "[?id=='${SUBSCRIPTION_ID}'].{tenantId:tenantId}" --output tsv) export APPLICATION_ID=$(az ad app list --all \ --query "[?displayName=='APPLICATION_NAME'].appId" --output tsv)
Remplacez
APPLICATION_NAME
par le nom d'application Azure AD que vous avez utilisé pour satisfaire les prérequis.Créez le client :
gcloud container azure clients create CLIENT_NAME \ --location=GOOGLE_CLOUD_LOCATION \ --tenant-id="${TENANT_ID}" \ --application-id="${APPLICATION_ID}"
Remplacez les éléments suivants :
CLIENT_NAME
: nom de votre AzureClientGOOGLE_CLOUD_LOCATION
: région Google Cloud compatible qui gère votre cluster, par exempleus-west1
Obtenez le certificat d'un AzureClient et enregistrez-le dans une variable d'environnement :
CERT=$(gcloud container azure clients get-public-cert --location=GOOGLE_CLOUD_LOCATION \ CLIENT_NAME)
Remplacez les éléments suivants :
GOOGLE_CLOUD_LOCATION
CLIENT_NAME
Importez le certificat dans votre application sur Azure AD :
az ad app credential reset --id "${APPLICATION_ID}" --cert "${CERT}" --append
Une fois le certificat importé et avant de créer un cluster, attendez au moins une minute pour que le certificat soit prêt à être utilisé. Si la commande échoue, vous pouvez réessayer.