Mengaktifkan Workload Identity Federation di AKS dan EKS

Topik ini menjelaskan cara mengaktifkan Workload Identity untuk penginstalan hybrid Apigee di platform AKS dan EKS.

Ringkasan

Workload identity federation memungkinkan aplikasi yang berjalan di luar Google Cloud meniru akun layanan Google Cloud Platform menggunakan kredensial dari penyedia identitas eksternal.

Menggunakan workload identity federation dapat membantu Anda meningkatkan keamanan dengan memungkinkan aplikasi menggunakan mekanisme autentikasi yang disediakan oleh lingkungan eksternal dan dapat membantu mengganti kunci akun layanan.

Untuk ringkasan, lihat Praktik terbaik untuk menggunakan Workload Identity Federation.

Menyiapkan Workload Identity Federation

Untuk menggunakan Workload Identity Federation dengan Apigee hybrid, konfigurasikan cluster Anda terlebih dahulu, lalu terapkan fitur tersebut ke penginstalan Apigee hybrid.

Konfigurasikan cluster Anda untuk menggunakan Workload Identity Federation.

Ikuti petunjuk Google Cloud untuk Mengonfigurasi Workload Identity Federation untuk Kubernetes, dengan modifikasi berikut:

• Cantumkan akun layanan IAM dan akun layanan Kubernetes Anda dengan perintah berikut:
  • Akun layanan IAM: Anda kemungkinan besar telah membuat akun layanan IAM (juga disebut "akun layanan Google") selama penginstalan awal Apigee hybrid dengan alat create-service-account. Lihat Tentang akun layanan untuk mengetahui daftar akun layanan IAM yang diperlukan oleh Apigee hybrid.

    Anda dapat melihat daftar akun layanan IAM di project dengan perintah berikut:

    gcloud iam service-accounts list --project PROJECT_ID

  • Akun layanan Kubernetes: Diagram campuran Apigee membuat akun layanan Kubernetes yang diperlukan untuk setiap komponen saat Anda menjalankan perintah helm install atau helm update.

    Anda dapat melihat akun layanan Kubernetes di cluster dengan perintah kubectl get sa:

    kubectl get sa -n APIGEE_NAMESPACE
    kubectl get sa -n apigee-system

• Pada langkah Mengonfigurasi Workload Identity Federation, audiens default untuk penyedia dan Workload Identity pool yang dibuat adalah sebagai berikut. Gunakan default ini atau tetapkan audiens yang diharapkan kustom, dan simpan nilai ini untuk digunakan nanti.

  https://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

• Berhenti setelah langkah 1 di bagian Men-deploy workload Kubernetes. Akan ada satu file konfigurasi kredensial untuk setiap akun layanan Google. Simpan setiap file konfigurasi kredensial dan simpan jalur yang dimasukkan untuk parameter --credential-source-file, misalnya: /var/run/service-account/token.

Mengonfigurasi Apigee hybrid untuk menggunakan Workload Identity Federation

1. Salin file sumber kredensial dan file output (credential-configuration.json) ke dalam direktori diagram berikut. Ini adalah nilai yang Anda berikan di langkah 1 pada bagian Men-deploy workload Kubernetes.
   • apigee-datastore/
   • apigee-env
   • apigee-org/
   • apigee-telemetry/
2. Lakukan perubahan global berikut pada file penggantian cluster Anda:

   gcp:
     workloadIdentity:
       enabled: false # must be set to false to use Workload Identity Federation
     federatedWorkloadIdentity:
       enabled: true
       audience: "AUDIENCE"
       credentialSourceFile: "CREDENTIAL_SOURCE_FILE"
   

   Dengan keterangan:

   • AUDIENCE adalah audiens yang diizinkan dari Penyedia Identitas Beban Kerja, nilai di bagian .audience dalam file json konfigurasi kredensial yang Anda konfigurasikan di langkah 1 di bagian Men-deploy beban kerja Kubernetes.
   • CREDENTIAL_SOURCE_FILE adalah nama file dan jalur ke file sumber kredensial yang digunakan oleh Workload Identity Federation untuk mendapatkan kredensial akun layanan. Ini adalah nilai yang Anda berikan untuk credential-source-file saat mengonfigurasi Workload Identity Federation dengan perintah create-cred-config di langkah 1 pada bagian Men-deploy workload Kubernetes. Contoh:

   Contoh:

   gcp:
     workloadIdentity:
       enabled: false
     federatedWorkloadIdentity:
       enabled: true
       audience: "//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/aws-pool/providers/aws-provider"
       credentialSourceFile: "/var/run/service-account/token"
   

3. Konfigurasikan penggantian untuk setiap komponen menggunakan Workload Identity Federation. Pilih petunjuk untuk file sertifikat, secret Kubernetes, atau Vault yang sesuai untuk penginstalan Anda.

   File sertifikat

   Ganti nilai serviceAccountPath dengan file sumber kredensial. Ini harus berupa jalur yang relatif terhadap direktori diagram. Contoh:

   udca:
     serviceAccountPath: fwi/credential-configuration.json
   

   Rahasia K8s

   1. Buat secret Kubernetes baru menggunakan file sumber kredensial.

      kubectl create secret -n apigee generic SECRET_NAME --from-file="client_secret.json=CREDENTIAL_CONFIGURATION_FILE"

      Contoh:

      kubectl create secret -n apigee generic udca-fwi-secret --from-file="client_secret.json=./fwi/credential-configuration.json"

   2. Ganti nilai serviceAccountRef dengan secret baru. Contoh:

      udca:
        serviceAccountRef: udca-fwi-secret
      

   Vault

   Perbarui kunci akun layanan, SAKEY di Vault dengan file sumber kredensial. Misalnya, untuk UDCA (prosedurnya serupa untuk semua komponen):

   SAKEY=$(cat ./fwi/credential-configuration.json); kubectl -n apigee exec vault-0 -- vault kv patch secret/apigee/orgsakeys udca="$SAKEY"

4. Terapkan perubahan pada setiap komponen yang terpengaruh dengan perintah helm update:

   Jika Anda menggunakan Vault untuk pertama kalinya dengan cluster ini, perbarui diagram apigee-operator:

   helm upgrade operator apigee-operator/ \
     --namespace apigee-system \
     --atomic \
     -f overrides.yaml
   

   Perbarui tangga lagu lainnya yang terpengaruh dalam urutan berikut:

   helm upgrade datastore apigee-datastore/ \
     --namespace apigee \
     --atomic \
     -f overrides.yaml
   

   helm upgrade telemetry apigee-telemetry/ \
     --namespace apigee \
     --atomic \
     -f overrides.yaml
   

   helm upgrade $ORG_NAME apigee-org/ \
     --namespace apigee \
     --atomic \
     -f overrides.yaml
   

   Perbarui diagram apigee-env untuk setiap env, dengan mengganti ENV_NAME setiap kali:

   helm upgrade $ENV_NAME apigee-env/ \
     --namespace apigee \
     --atomic \
     --set env=$ENV_NAME \
     -f overrides.yaml
   

   Lihat Referensi Helm Apigee hybrid untuk mengetahui daftar komponen dan diagram yang sesuai.

Untuk informasi selengkapnya tentang Workload Identity Federation dan praktik terbaik, lihat Praktik terbaik untuk menggunakan workload identity federation.