10단계(선택사항): GKE에서 워크로드 아이덴티티 구성

워크로드 아이덴티티만 있는 GKE: 워크로드 아이덴티티 구성

6단계: 클러스터 구성에서 GKE의 워크로드 아이덴티티에 재정의 파일을 설정한 경우 다음 단계를 수행합니다.

GKE에서 워크로드 아이덴티티를 사용하지 않는 경우 3부, 1단계: Apigee 인그레스 게이트웨이 노출을 진행합니다.

Google Cloud 서비스 계정 및 Kubernetes 서비스 계정

Google Cloud 서비스 계정은 서비스 계정 자체로 인증하여 승인된 API 호출을 수행하는 데 사용할 수 있는 특별한 유형의 계정입니다. Google Cloud 서비스 계정에는 개별 사용자와 비슷한 역할 및 권한을 부여할 수 있습니다. 애플리케이션이 서비스 계정으로 인증되면 서비스 계정에 액세스 권한이 있는 모든 리소스에 액세스할 수 있습니다. Google Cloud 서비스 계정에 대해 자세히 알아보려면 서비스 계정 개요를 참조하세요.

4단계: 서비스 계정 만들기에서 Apigee Hybrid 설치에 대한 Google Cloud 서비스 계정을 만들었습니다. Apigee는 이러한 서비스 계정을 사용해서 하이브리드 구성요소를 인증합니다.

Kubernetes 서비스 계정은 Google Cloud 서비스 계정과 비슷합니다. Kubernetes 서비스 계정은 포드에서 실행되는 프로세스에 대한 ID를 제공하며 사용자와 비슷하게 API 서버에 인증을 수행하도록 허용합니다. Kubernetes 서비스 계정에 대해 자세히 알아보려면 포드에 대한 서비스 계정 구성을 참조하세요.

apigeectl 도구는 이전 절차에서 apigeectl apply를 실행할 때 Apigee Hybrid에 필요한 Kubernetes 서비스 계정을 대부분 만들었습니다.

GKE에서 워크로드 아이덴티티를 구성하면 Google Cloud 서비스 계정이 Kubernetes 클러스터에 있는 Kubernetes 서비스 계정과 연결됩니다. 이렇게 하면 Kubernetes 서비스 계정이 Google Cloud 서비스 계정을 가장하고 할당된 역할 및 권한을 사용해서 하이브리드 구성요소에 인증을 수행할 수 있습니다.

안내에 따라 프로젝트에 대해 워크로드 아이덴티티를 구성합니다.

워크로드 아이덴티티 구성 준비

이 절차에서는 다음 환경 변수를 사용합니다. 정의되었는지 확인하고 그렇지 않으면 정의합니다.

echo $APIGEECTL_HOME
echo $CLUSTER_LOCATION
echo $ENV_NAME
echo $HYBRID_FILES
echo $NAMESPACE
echo $PROJECT_ID
echo $ORG_NAME

각 항목의 의미는 다음과 같습니다.

  • APIGEECTL_HOME: apigeectl를 설치한 디렉터리
  • CLUSTER_LOCATION: 클러스터의 리전 또는 영역(예: us-central1)
  • ENV_NAME: 환경 이름
  • HYBRID_FILES: overridescerts 디렉터리를 만든 디렉터리
  • NAMESPACE: Apigee 네임스페이스
  • PROJECT_ID: Google Cloud 프로젝트
  • ORG_NAME: Apigee 조직의 이름

  1. 다음 명령어를 사용하여 현재 gcloud 구성이 Google Cloud 프로젝트 ID로 설정되었는지 확인합니다.
    gcloud config get project
  2. 필요한 경우 현재 gcloud 구성을 설정합니다.

    gcloud config set project $PROJECT_ID
  3. apigee-cassandra-restore Kubernetes 서비스 계정을 만듭니다.

    apigeectl apply를 실행하여 구성을 적용한 경우 이 명령어는 워크로드 아이덴티티에 필요한 대부분의 Kubernetes 서비스 계정을 만들었습니다.

    apigee-cassandra-restore Kubernetes 서비스 계정을 만들려면 --restore 플래그과 함께 apigeectl apply를 실행합니다.

    $APIGEECTL_HOME/apigeectl apply -f $HYBRID_FILES/overrides/overrides.yaml --restore
  4. GKE 클러스터에 대한 워크로드 아이덴티티가 사용 설정되었는지 확인합니다. 1단계: 클러스터 만들기에서 클러스터를 만든 경우 6단계는 워크로드 아이덴티티를 사용 설정하는 것이었습니다. 다음 명령어를 실행하여 워크로드 아이덴티티가 사용 설정되었는지 확인할 수 있습니다.

    리전 클러스터

    gcloud container clusters describe $CLUSTER_NAME \
      --region $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --flatten 'workloadIdentityConfig'

    영역 클러스터

    gcloud container clusters describe $CLUSTER_NAME \
      --zone $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --flatten 'workloadIdentityConfig'

    다음과 유사하게 출력됩니다.

      ---
      workloadPool: PROJECT_ID.svc.id.goog

    결과에 null가 대신 표시되면 다음 명령어를 실행하여 클러스터에 대해 워크로드 아이덴티티를 사용 설정합니다.

    리전 클러스터

    gcloud container clusters update $CLUSTER_NAME \
      --workload-pool=$PROJECT_ID.svc.id.goog \
      --project $PROJECT_ID \
      --region $CLUSTER_LOCATION

    영역 클러스터

    gcloud container clusters update  $CLUSTER_NAME \
      --workload-pool=$PROJECT_ID.svc.id.goog \
      --zone $CLUSTER_LOCATION \
      --project $PROJECT_ID
  5. 다음 명령어를 사용해서 각 노드 풀에 대해 워크로드 아이덴티티를 사용 설정합니다. 이 작업은 각 노드에 대해 최대 30분 정도 걸릴 수 있습니다.

    리전 클러스터

    gcloud container node-pools update NODE_POOL_NAME \
      --cluster=$CLUSTER_NAME \
      --region $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --workload-metadata=GKE_METADATA

    영역 클러스터

    gcloud container node-pools update NODE_POOL_NAME \
      --cluster=$CLUSTER_NAME \
      --zone $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --workload-metadata=GKE_METADATA

    여기서 NODE_POOL_NAME는 각 노드 풀의 이름입니다. 대부분의 Apigee Hybrid 설치에서 두 기본 노드 풀의 이름은 apigee-dataapigee-runtime입니다.

  6. 다음 명령어를 사용해서 노드 풀에서 워크로드 아이덴티티가 사용 설정되었는지 확인합니다.

    리전 클러스터

    gcloud container node-pools describe apigee-data \
      --cluster $CLUSTER_NAME \
      --region $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --flatten "config:"
    gcloud container node-pools describe apigee-runtime \
      --cluster $CLUSTER_NAME \
      --region $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --flatten "config:"

    영역 클러스터

    gcloud container node-pools describe apigee-data \
      --cluster $CLUSTER_NAME \
      --zone $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --flatten "config:"
    gcloud container node-pools describe apigee-runtime \
      --cluster $CLUSTER_NAME \
      --zone $CLUSTER_LOCATION \
      --project $PROJECT_ID \
      --flatten "config:"

    다음과 비슷한 결과가 출력됩니다.

    ---
    diskSizeGb: 100
    diskType: pd-standard
    ...
    workloadMetadataConfig:
      mode: GKE_METADATA
        
  7. 프로젝트에 대해 Google Cloud 서비스 계정의 이름 목록을 가져옵니다. 워크로드 아이덴티티를 구성하도록 Kubernetes 서비스 계정을 연결하려면 이 이름이 필요합니다. 비프로덕션 설치의 경우 Google 서비스 계정이 하나만 있어야 합니다. 프로덕션 설치의 경우 8개가 있어야 합니다.

    다음 명령어를 사용하여 이름 목록을 가져옵니다.

    gcloud iam service-accounts list --project $PROJECT_ID

    다음과 비슷한 결과가 출력됩니다.

    비프로덕션

    비프로덕션 환경의 경우:

    DISPLAY NAME         EMAIL                                                      DISABLED
    apigee-non-prod      apigee-non-prod@my_project_id.iam.gserviceaccount.com      False
    

    프로덕션

    비프로덕션 환경의 경우:

    DISPLAY NAME         EMAIL                                                      DISABLED
    apigee-cassandra     apigee-cassandra@my_project_id.iam.gserviceaccount.com     False
    apigee-logger        apigee-logger@my_project_id.iam.gserviceaccount.com        False
    apigee-mart          apigee-mart@my_project_id.iam.gserviceaccount.com          False
    apigee-metrics       apigee-metrics@my_project_id.iam.gserviceaccount.com       False
    apigee-runtime       apigee-runtime@my_project_id.iam.gserviceaccount.com       False
    apigee-synchronizer  apigee-synchronizer@my_project_id.iam.gserviceaccount.com  False
    apigee-udca          apigee-udca@my_project_id.iam.gserviceaccount.com          False
    apigee-watcher       apigee-watcher@my_project_id.iam.gserviceaccount.com       False
    
  8. Kubernetes 서비스 계정의 이름 목록을 가져옵니다. 이 절차의 뒷부분에서 Google Cloud 서비스 계정과 연결하기 위해 이 이름 목록이 필요합니다. 다음 명령어를 사용하세요.
    kubectl get sa -n $NAMESPACE

    출력이 다음과 같이 표시됩니다. 굵게 표시된 Kubernetes 서비스 계정이 Google 클라우드 서비스 계정과 연결하는 데 필요한 계정입니다.

    NAME                                                         SECRETS   AGE
    apigee-cassandra-backup                                      1         11m
    apigee-cassandra-restore                                     1         11m
    apigee-cassandra-schema-setup-my-project-id-123abcd-sa       1         11m
    apigee-cassandra-schema-val-my-project-id-123abcd            1         11m
    apigee-cassandra-user-setup-my-project-id-123abcd-sa         1         11m
    apigee-connect-agent-my-project-id-123abcd-sa                1         11m
    apigee-datastore-default-sa                                  1         11m
    apigee-ingressgateway                                        1         11m
    apigee-ingressgateway-my-project-id-123abcd                  1         11m
    apigee-ingressgateway-manager                                1         11m
    apigee-init                                                  1         11m
    apigee-mart-my-project-id-123abcd-sa                         1         11m
    apigee-metrics-sa                                            1         11m
    apigee-mint-task-scheduler-my-project-id-123abcd-sa          1         11m
    apigee-redis-default-sa                                      1         11m
    apigee-redis-envoy-default-sa                                1         11m
    apigee-runtime-my-project-id-env-name-234bcde-sa             1         11m
    apigee-synchronizer-my-project-id-env-name-234bcde-sa        1         11m
    apigee-udca-my-project-id-123abcd-sa                         1         11m
    apigee-udca-my-project-id-env-name-234bcde-sa                1         11m
    apigee-watcher-my-project-id-123abcd-sa                      1         11m
    default                                                      1         11m
        

워크로드 아이덴티티 구성

다음 절차에 따라 하이브리드 설치에 대해 워크로드 아이덴티티를 사용 설정합니다.

  1. 각 Apigee 구성요소에 대해서는 해당 Kubernetes 서비스 계정에 구성요소에 대한 Google 서비스 계정으로 주석을 추가합니다.

    다음 단계에서는 두 가지 환경 변수를 사용합니다. 각 명령어 집합 전에 다음 변수의 값을 재설정합니다.

    • GSA_NAME: Google 서비스 계정의 이름입니다. 이 이름은 4단계: 서비스 계정 만들기create-service-account 도구로 만든 서비스 계정입니다.
    • KSA_NAME: Kubernetes 서비스 계정의 이름입니다. kubectl get sa -n $NAMESPACE 명령어를 사용하여 위에 나열한 계정(예: apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa)입니다.
    • Cassandra

      Cassandra 구성요소에 대해 워크로드 아이덴티티를 구성합니다.

      Cassandra 구성요소에는 6개의 연결된 Kubernetes 서비스 계정이 있습니다.

      • apigee-cassandra-backup
      • apigee-cassandra-restore
      • apigee-cassandra-schema-setup
      • apigee-cassandra-schema-val (val = 검증)
      • apigee-cassandra-user-setup
      • apigee-datastore-default

      비프로덕션

      apigee-cassandra-backup Kubernetes 서비스 계정 구성

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.
        GSA_NAME="apigee-non-prod"
        KSA_NAME="apigee-cassandra-backup"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

        출력에 다음과 비슷하게 주석을 설명하는 줄이 있어야 합니다.

        Annotations:         iam.gke.io/gcp-service-account: apigee-non-prod@my-project-id.iam.gserviceaccount.com

      apigee-cassandra-restore Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-restore"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-cassandra-schema-setup Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-cassandra-schema-val Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-val-service-account-name"
        예를 들면 다음과 같습니다. apigee-cassandra-schema-val-hybrid-example-project-123abcd.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-cassandra-user-setup Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-datastore-default-sa Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-datastore-default-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      apigee-cassandra-backup Kubernetes 서비스 계정 구성

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.
        GSA_NAME="apigee-cassandra"
        KSA_NAME="apigee-cassandra-backup"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
      5. 출력에 다음과 비슷하게 주석을 설명하는 줄이 있어야 합니다.

        Annotations:         iam.gke.io/gcp-service-account: apigee-cassandra@my-project-id.iam.gserviceaccount.com
      6. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-cassandra-restore Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-restore"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

      apigee-cassandra-schema-setup Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.

        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-cassandra-schema-val Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-schema-val-service-account-name"
        예를 들면 다음과 같습니다. apigee-cassandra-schema-val-hybrid-example-project-123abcd.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-cassandra-user-setup Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      apigee-datastore-default-sa Kubernetes 서비스 계정 구성

      1. KSA_NAME 환경 변수를 재정의합니다.

        KSA_NAME="apigee-datastore-default-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • Apigee Connect

      Apigee Connect 구성요소의 워크로드 아이덴티티를 구성합니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-connect-agent-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-connect-agent-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.
        GSA_NAME="apigee-mart"
        KSA_NAME="apigee-connect-agent-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-connect-agent-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • MART

      MART 구성요소의 워크로드 아이덴티티를 구성합니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-mart-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-mart-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-mart"
        KSA_NAME="apigee-mart-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-mart-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • Apigee 측정항목

      Apigee 측정항목 구성요소의 워크로드 아이덴티티를 구성합니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-metrics-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-metrics"
        KSA_NAME="apigee-metrics-sa"
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
        $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
        --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
        --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • UDCA(조직 수준)

      조직 수준 UDCA 구성요소의 워크로드 아이덴티티를 구성합니다.

      UDCA는 조직 수준 범위 및 환경 수준 범위 모두에서 구현됩니다. 따라서 UDCA에는 범위당 하나씩 두 개의 개별 Kubernetes 서비스 계정이 있습니다. 계정 이름으로 이를 구분할 수 있습니다. env-scope 계정은 서비스 계정 이름에 환경 이름이 포함됩니다. 예를 들면 다음과 같습니다.

      • 조직 수준: apigee-udca-my-project-id-123abcd-sa 여기서 my-project-id는 이름 프로젝트 ID입니다.
      • 환경 수준: apigee-udca-my-project-id-my-env-234bcde-sa, 여기서 my-env는 환경 이름입니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-udca-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-udca-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
          gcloud iam service-accounts add-iam-policy-binding \
            --role roles/iam.workloadIdentityUser \
            --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
            $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
            --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
          kubectl annotate serviceaccount \
            --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-udca"
        KSA_NAME="apigee-udca-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-udca-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • Apigee Watcher

      Apigee Watcher 구성요소의 워크로드 아이덴티티를 구성합니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-watcher-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-watcher-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-watcher"
        KSA_NAME="apigee-watcher-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-watcher-hybrid-example-project-123abcd-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • 런타임

      Apigee 런타임 구성요소의 워크로드 아이덴티티를 구성합니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-runtime-hybrid-example-project-example-env-234bcde-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-runtime"
        KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-runtime-hybrid-example-project-example-env-234bcde-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • 동기화 담당자

      동기화 담당자 구성요소의 워크로드 아이덴티티를 구성합니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-synchronizer"
        KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
    • UDCA(환경 수준)

      환경 수준 UDCA 구성요소의 워크로드 아이덴티티를 구성합니다.

      비프로덕션

      1. KSA_NAME 환경 변수를 정의합니다.

        KSA_NAME="apigee-udca-env-level-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-udca-hybrid-example-project-example-env-234bcde-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME

      프로덕션

      1. KSA_NAMEGSA_NAME 환경 변수를 정의합니다.

        GSA_NAME="apigee-udca"
        KSA_NAME="apigee-udca-env-level-service-account-name-sa"
        예를 들면 다음과 같습니다. apigee-udca-hybrid-example-project-example-env-234bcde-sa.
      2. IAM 역할을 바인딩합니다.
        gcloud iam service-accounts add-iam-policy-binding \
          --role roles/iam.workloadIdentityUser \
          --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \
          $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \
          --project $PROJECT_ID
      3. 서비스 계정에 주석을 추가합니다.
        kubectl annotate serviceaccount \
          --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
      4. 주석을 확인합니다.
        kubectl describe serviceaccount \
          --namespace $NAMESPACE $KSA_NAME
  2. 선택사항: 다운로드한 서비스 계정 키 파일을 모두 삭제합니다.

    create-service-account 도구를 사용하여 Google 서비스 계정을 만든 경우 서비스 계정 키가 생성되고 .json 키 파일이 다운로드되었을 수 있습니다. GKE에서 워크로드 아이덴티티를 사용할 때는 이러한 키 파일이 필요하지 않습니다.

    다음 명령어를 사용하여 키 파일을 삭제할 수 있습니다.

    rm $HYBRID_FILES/service-accounts/*.json

워크로드 아이덴티티 확인

  1. (선택사항) Google Cloud 콘솔의 Kubernetes: 워크로드 개요 페이지에서 Kubernetes 서비스 계정의 상태를 확인할 수 있습니다.

    워크로드로 이동

  2. apigeectl check-ready로 배포 상태를 다시 확인하려면 다음을 수행하세요.
    ${APIGEECTL_HOME}/apigeectl check-ready -f ${HYBRID_FILES}/overrides/overrides.yaml
(다음) 1단계: Apigee 인그레스 노출 2