워크로드 아이덴티티만 있는 GKE: 워크로드 아이덴티티 구성
6단계: 클러스터 구성에서 GKE의 워크로드 아이덴티티에 재정의 파일을 설정한 경우 다음 단계를 수행합니다.
GKE에서 워크로드 아이덴티티를 사용하지 않는 경우 3부, 1단계: Apigee 인그레스 게이트웨이 노출을 진행합니다.
Google Cloud 서비스 계정 및 Kubernetes 서비스 계정
Google Cloud 서비스 계정은 서비스 계정 자체로 인증하여 승인된 API 호출을 수행하는 데 사용할 수 있는 특별한 유형의 계정입니다. Google Cloud 서비스 계정에는 개별 사용자와 비슷한 역할 및 권한을 부여할 수 있습니다. 애플리케이션이 서비스 계정으로 인증되면 서비스 계정에 액세스 권한이 있는 모든 리소스에 액세스할 수 있습니다. Google Cloud 서비스 계정에 대해 자세히 알아보려면 서비스 계정 개요를 참조하세요.
4단계: 서비스 계정 만들기에서 Apigee Hybrid 설치에 대한 Google Cloud 서비스 계정을 만들었습니다. Apigee는 이러한 서비스 계정을 사용해서 하이브리드 구성요소를 인증합니다.
Kubernetes 서비스 계정은 Google Cloud 서비스 계정과 비슷합니다. Kubernetes 서비스 계정은 포드에서 실행되는 프로세스에 대한 ID를 제공하며 사용자와 비슷하게 API 서버에 인증을 수행하도록 허용합니다. Kubernetes 서비스 계정에 대해 자세히 알아보려면 포드에 대한 서비스 계정 구성을 참조하세요.
apigeectl
도구는 이전 절차에서 apigeectl apply
를 실행할 때 Apigee Hybrid에 필요한 Kubernetes 서비스 계정을 대부분 만들었습니다.
GKE에서 워크로드 아이덴티티를 구성하면 Google Cloud 서비스 계정이 Kubernetes 클러스터에 있는 Kubernetes 서비스 계정과 연결됩니다. 이렇게 하면 Kubernetes 서비스 계정이 Google Cloud 서비스 계정을 가장하고 할당된 역할 및 권한을 사용해서 하이브리드 구성요소에 인증을 수행할 수 있습니다.
안내에 따라 프로젝트에 대해 워크로드 아이덴티티를 구성합니다.
워크로드 아이덴티티 구성 준비
이 절차에서는 다음 환경 변수를 사용합니다. 정의되었는지 확인하고 그렇지 않으면 정의합니다.
echo $APIGEECTL_HOMEecho $CLUSTER_LOCATION
echo $ENV_NAME
echo $HYBRID_FILES
echo $NAMESPACE
echo $PROJECT_ID
echo $ORG_NAME
각 항목의 의미는 다음과 같습니다.
APIGEECTL_HOME
:apigeectl
를 설치한 디렉터리CLUSTER_LOCATION
: 클러스터의 리전 또는 영역(예:us-central1
)ENV_NAME
: 환경 이름HYBRID_FILES
:overrides
및certs
디렉터리를 만든 디렉터리NAMESPACE
: Apigee 네임스페이스PROJECT_ID
: Google Cloud 프로젝트ORG_NAME
: Apigee 조직의 이름
- 다음 명령어를 사용하여 현재
gcloud
구성이 Google Cloud 프로젝트 ID로 설정되었는지 확인합니다.gcloud config get project
apigee-cassandra-restore
Kubernetes 서비스 계정을 만듭니다.apigeectl apply
를 실행하여 구성을 적용한 경우 이 명령어는 워크로드 아이덴티티에 필요한 대부분의 Kubernetes 서비스 계정을 만들었습니다.apigee-cassandra-restore
Kubernetes 서비스 계정을 만들려면--restore
플래그과 함께apigeectl apply
를 실행합니다.$APIGEECTL_HOME/apigeectl apply -f $HYBRID_FILES/overrides/overrides.yaml --restore
- GKE 클러스터에 대한 워크로드 아이덴티티가 사용 설정되었는지 확인합니다. 1단계: 클러스터 만들기에서 클러스터를 만든 경우 6단계는 워크로드 아이덴티티를 사용 설정하는 것이었습니다. 다음 명령어를 실행하여 워크로드 아이덴티티가 사용 설정되었는지 확인할 수 있습니다.
리전 클러스터
gcloud container clusters describe $CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID \ --flatten 'workloadIdentityConfig'
영역 클러스터
gcloud container clusters describe $CLUSTER_NAME \ --zone $CLUSTER_LOCATION \ --project $PROJECT_ID \ --flatten 'workloadIdentityConfig'
다음과 유사하게 출력됩니다.
--- workloadPool: PROJECT_ID.svc.id.goog
결과에
null
가 대신 표시되면 다음 명령어를 실행하여 클러스터에 대해 워크로드 아이덴티티를 사용 설정합니다.리전 클러스터
gcloud container clusters update $CLUSTER_NAME \ --workload-pool=$PROJECT_ID.svc.id.goog \ --project $PROJECT_ID \ --region $CLUSTER_LOCATION
영역 클러스터
gcloud container clusters update $CLUSTER_NAME \ --workload-pool=$PROJECT_ID.svc.id.goog \ --zone $CLUSTER_LOCATION \ --project $PROJECT_ID
-
다음 명령어를 사용해서 각 노드 풀에 대해 워크로드 아이덴티티를 사용 설정합니다. 이 작업은 각 노드에 대해 최대 30분 정도 걸릴 수 있습니다.
리전 클러스터
gcloud container node-pools update NODE_POOL_NAME \ --cluster=$CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID \ --workload-metadata=GKE_METADATA
영역 클러스터
gcloud container node-pools update NODE_POOL_NAME \ --cluster=$CLUSTER_NAME \ --zone $CLUSTER_LOCATION \ --project $PROJECT_ID \ --workload-metadata=GKE_METADATA
여기서 NODE_POOL_NAME는 각 노드 풀의 이름입니다. 대부분의 Apigee Hybrid 설치에서 두 기본 노드 풀의 이름은
apigee-data
및apigee-runtime
입니다. - 다음 명령어를 사용해서 노드 풀에서 워크로드 아이덴티티가 사용 설정되었는지 확인합니다.
리전 클러스터
gcloud container node-pools describe apigee-data \ --cluster $CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID \ --flatten "config:"
gcloud container node-pools describe apigee-runtime \ --cluster $CLUSTER_NAME \ --region $CLUSTER_LOCATION \ --project $PROJECT_ID \ --flatten "config:"
영역 클러스터
gcloud container node-pools describe apigee-data \ --cluster $CLUSTER_NAME \ --zone $CLUSTER_LOCATION \ --project $PROJECT_ID \ --flatten "config:"
gcloud container node-pools describe apigee-runtime \ --cluster $CLUSTER_NAME \ --zone $CLUSTER_LOCATION \ --project $PROJECT_ID \ --flatten "config:"
다음과 비슷한 결과가 출력됩니다.
--- diskSizeGb: 100 diskType: pd-standard ... workloadMetadataConfig: mode: GKE_METADATA
- 프로젝트에 대해 Google Cloud 서비스 계정의 이름 목록을 가져옵니다. 워크로드 아이덴티티를 구성하도록 Kubernetes 서비스 계정을 연결하려면 이 이름이 필요합니다. 비프로덕션 설치의 경우 Google 서비스 계정이 하나만 있어야 합니다. 프로덕션 설치의 경우 8개가 있어야 합니다.
다음 명령어를 사용하여 이름 목록을 가져옵니다.
gcloud iam service-accounts list --project $PROJECT_ID
다음과 비슷한 결과가 출력됩니다.
비프로덕션
비프로덕션 환경의 경우:
DISPLAY NAME EMAIL DISABLED apigee-non-prod apigee-non-prod@my_project_id.iam.gserviceaccount.com False
프로덕션
비프로덕션 환경의 경우:
DISPLAY NAME EMAIL DISABLED apigee-cassandra apigee-cassandra@my_project_id.iam.gserviceaccount.com False apigee-logger apigee-logger@my_project_id.iam.gserviceaccount.com False apigee-mart apigee-mart@my_project_id.iam.gserviceaccount.com False apigee-metrics apigee-metrics@my_project_id.iam.gserviceaccount.com False apigee-runtime apigee-runtime@my_project_id.iam.gserviceaccount.com False apigee-synchronizer apigee-synchronizer@my_project_id.iam.gserviceaccount.com False apigee-udca apigee-udca@my_project_id.iam.gserviceaccount.com False apigee-watcher apigee-watcher@my_project_id.iam.gserviceaccount.com False
- Kubernetes 서비스 계정의 이름 목록을 가져옵니다. 이 절차의 뒷부분에서 Google Cloud 서비스 계정과 연결하기 위해 이 이름 목록이 필요합니다. 다음 명령어를 사용하세요.
kubectl get sa -n $NAMESPACE
출력이 다음과 같이 표시됩니다. 굵게 표시된 Kubernetes 서비스 계정이 Google 클라우드 서비스 계정과 연결하는 데 필요한 계정입니다.
NAME SECRETS AGE apigee-cassandra-backup 1 11m apigee-cassandra-restore 1 11m apigee-cassandra-schema-setup-my-project-id-123abcd-sa 1 11m apigee-cassandra-schema-val-my-project-id-123abcd 1 11m apigee-cassandra-user-setup-my-project-id-123abcd-sa 1 11m apigee-connect-agent-my-project-id-123abcd-sa 1 11m apigee-datastore-default-sa 1 11m apigee-ingressgateway 1 11m apigee-ingressgateway-my-project-id-123abcd 1 11m apigee-ingressgateway-manager 1 11m apigee-init 1 11m apigee-mart-my-project-id-123abcd-sa 1 11m apigee-metrics-sa 1 11m apigee-mint-task-scheduler-my-project-id-123abcd-sa 1 11m apigee-redis-default-sa 1 11m apigee-redis-envoy-default-sa 1 11m apigee-runtime-my-project-id-env-name-234bcde-sa 1 11m apigee-synchronizer-my-project-id-env-name-234bcde-sa 1 11m apigee-udca-my-project-id-123abcd-sa 1 11m apigee-udca-my-project-id-env-name-234bcde-sa 1 11m apigee-watcher-my-project-id-123abcd-sa 1 11m default 1 11m
필요한 경우 현재 gcloud
구성을 설정합니다.
gcloud config set project $PROJECT_ID
워크로드 아이덴티티 구성
다음 절차에 따라 하이브리드 설치에 대해 워크로드 아이덴티티를 사용 설정합니다.
-
각 Apigee 구성요소에 대해서는 해당 Kubernetes 서비스 계정에 구성요소에 대한 Google 서비스 계정으로 주석을 추가합니다.
다음 단계에서는 두 가지 환경 변수를 사용합니다. 각 명령어 집합 전에 다음 변수의 값을 재설정합니다.
- GSA_NAME: Google 서비스 계정의 이름입니다. 이 이름은 4단계: 서비스 계정 만들기의
create-service-account
도구로 만든 서비스 계정입니다. - KSA_NAME: Kubernetes 서비스 계정의 이름입니다.
kubectl get sa -n $NAMESPACE
명령어를 사용하여 위에 나열한 계정(예:apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa
)입니다.
- GSA_NAME: Google 서비스 계정의 이름입니다. 이 이름은 4단계: 서비스 계정 만들기의
- Cassandra
Cassandra 구성요소에 대해 워크로드 아이덴티티를 구성합니다.
Cassandra 구성요소에는 6개의 연결된 Kubernetes 서비스 계정이 있습니다.
apigee-cassandra-backup
apigee-cassandra-restore
apigee-cassandra-schema-setup
apigee-cassandra-schema-val
(val
= 검증)apigee-cassandra-user-setup
apigee-datastore-default
비프로덕션
apigee-cassandra-backup
Kubernetes 서비스 계정 구성KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-non-prod"
KSA_NAME="apigee-cassandra-backup"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
출력에 다음과 비슷하게 주석을 설명하는 줄이 있어야 합니다.
Annotations: iam.gke.io/gcp-service-account: apigee-non-prod@my-project-id.iam.gserviceaccount.com
apigee-cassandra-restore
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-restore"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
apigee-cassandra-schema-setup
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
apigee-cassandra-schema-val
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-cassandra-schema-val-service-account-name"
apigee-cassandra-schema-val-hybrid-example-project-123abcd
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
apigee-cassandra-user-setup
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
apigee-datastore-default-sa
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-datastore-default-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
apigee-cassandra-backup
Kubernetes 서비스 계정 구성KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-cassandra"
KSA_NAME="apigee-cassandra-backup"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
출력에 다음과 비슷하게 주석을 설명하는 줄이 있어야 합니다.
Annotations: iam.gke.io/gcp-service-account: apigee-cassandra@my-project-id.iam.gserviceaccount.com
apigee-cassandra-restore
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-cassandra-restore"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
apigee-cassandra-schema-setup
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-cassandra-schema-setup-service-account-name-sa"
apigee-cassandra-schema-setup-hybrid-example-project-123abcd-sa
.- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
apigee-cassandra-schema-val
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-cassandra-schema-val-service-account-name"
apigee-cassandra-schema-val-hybrid-example-project-123abcd
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
apigee-cassandra-user-setup
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-cassandra-user-setup-service-account-name-sa"
apigee-cassandra-user-setup-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
apigee-datastore-default-sa
Kubernetes 서비스 계정 구성KSA_NAME
환경 변수를 재정의합니다.KSA_NAME="apigee-datastore-default-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- Apigee Connect
Apigee Connect 구성요소의 워크로드 아이덴티티를 구성합니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-connect-agent-service-account-name-sa"
apigee-connect-agent-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.GSA_NAME="apigee-mart"
KSA_NAME="apigee-connect-agent-service-account-name-sa"
apigee-connect-agent-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- MART
MART 구성요소의 워크로드 아이덴티티를 구성합니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-mart-service-account-name-sa"
apigee-mart-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.GSA_NAME="apigee-mart"
KSA_NAME="apigee-mart-service-account-name-sa"
apigee-mart-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- Apigee 측정항목
Apigee 측정항목 구성요소의 워크로드 아이덴티티를 구성합니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다.KSA_NAME="apigee-metrics-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다.GSA_NAME="apigee-metrics"
KSA_NAME="apigee-metrics-sa"
- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- UDCA(조직 수준)
조직 수준 UDCA 구성요소의 워크로드 아이덴티티를 구성합니다.
UDCA는 조직 수준 범위 및 환경 수준 범위 모두에서 구현됩니다. 따라서 UDCA에는 범위당 하나씩 두 개의 개별 Kubernetes 서비스 계정이 있습니다. 계정 이름으로 이를 구분할 수 있습니다. env-scope 계정은 서비스 계정 이름에 환경 이름이 포함됩니다. 예를 들면 다음과 같습니다.
- 조직 수준:
apigee-udca-my-project-id-123abcd-sa
여기서my-project-id
는 이름 프로젝트 ID입니다. - 환경 수준:
apigee-udca-my-project-id-my-env-234bcde-sa
, 여기서my-env
는 환경 이름입니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-udca-service-account-name-sa"
apigee-udca-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-service-account-name-sa"
apigee-udca-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- 조직 수준:
- Apigee Watcher
Apigee Watcher 구성요소의 워크로드 아이덴티티를 구성합니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-watcher-service-account-name-sa"
apigee-watcher-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.GSA_NAME="apigee-watcher"
KSA_NAME="apigee-watcher-service-account-name-sa"
apigee-watcher-hybrid-example-project-123abcd-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- 런타임
Apigee 런타임 구성요소의 워크로드 아이덴티티를 구성합니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
apigee-runtime-hybrid-example-project-example-env-234bcde-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.GSA_NAME="apigee-runtime"
KSA_NAME="apigee-runtime-env-level-service-account-name-sa"
apigee-runtime-hybrid-example-project-example-env-234bcde-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- 동기화 담당자
동기화 담당자 구성요소의 워크로드 아이덴티티를 구성합니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.GSA_NAME="apigee-synchronizer"
KSA_NAME="apigee-synchronizer-env-level-service-account-name-sa"
apigee-synchronizer-hybrid-example-project-example-env-234bcde-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- UDCA(환경 수준)
환경 수준 UDCA 구성요소의 워크로드 아이덴티티를 구성합니다.
비프로덕션
KSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.KSA_NAME="apigee-udca-env-level-service-account-name-sa"
apigee-udca-hybrid-example-project-example-env-234bcde-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
프로덕션
KSA_NAME
및GSA_NAME
환경 변수를 정의합니다. 예를 들면 다음과 같습니다.GSA_NAME="apigee-udca"
KSA_NAME="apigee-udca-env-level-service-account-name-sa"
apigee-udca-hybrid-example-project-example-env-234bcde-sa
.- IAM 역할을 바인딩합니다.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:$PROJECT_ID.svc.id.goog[$NAMESPACE/$KSA_NAME]" \ $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com \ --project $PROJECT_ID
- 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount \ --namespace $NAMESPACE $KSA_NAME iam.gke.io/gcp-service-account=$GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com
- 주석을 확인합니다.
kubectl describe serviceaccount \ --namespace $NAMESPACE $KSA_NAME
- 선택사항: 다운로드한 서비스 계정 키 파일을 모두 삭제합니다.
create-service-account
도구를 사용하여 Google 서비스 계정을 만든 경우 서비스 계정 키가 생성되고.json
키 파일이 다운로드되었을 수 있습니다. GKE에서 워크로드 아이덴티티를 사용할 때는 이러한 키 파일이 필요하지 않습니다.다음 명령어를 사용하여 키 파일을 삭제할 수 있습니다.
rm $HYBRID_FILES/service-accounts/*.json
워크로드 아이덴티티 확인
- (선택사항) Google Cloud 콘솔의 Kubernetes: 워크로드 개요 페이지에서 Kubernetes 서비스 계정의 상태를 확인할 수 있습니다.
apigeectl check-ready
로 배포 상태를 다시 확인하려면 다음을 수행하세요.${APIGEECTL_HOME}/apigeectl check-ready -f ${HYBRID_FILES}/overrides/overrides.yaml