Il prodotto descritto da questa documentazione, GKE su Azure, è ora in modalità di manutenzione e verrà chiuso il 17 marzo 2027.

Questa pagina è stata tradotta dall'API Cloud Translation.

Crea un'applicazione Azure Active Directory

In questa sezione, crei un'applicazione e oggetti entità di servizio di Azure Active Directory (Azure AD). GKE su Azure utilizza questi oggetti per memorizzare le informazioni di configurazione su Azure.

Per creare l'applicazione Azure AD, esegui il seguente comando:
```
az ad app create --display-name APPLICATION_NAME
```
Sostituisci APPLICATION_NAME con un nome per la tua applicazione, ad esempio anthos-clusters.
Per salvare l'ID dell'applicazione in una variabile di ambiente per utilizzarla in un secondo momento, esegui il seguente comando:
```
APPLICATION_ID=$(az ad app list --all \
 --query "[?displayName=='APPLICATION_NAME'].appId" \
 --output tsv)
```
Sostituisci APPLICATION_NAME con il nome della tua applicazione.
Per creare un principal di servizio per l'applicazione, esegui il seguente comando:
```
az ad sp create --id "${APPLICATION_ID}"
```

Configura la federazione delle identità per i carichi di lavoro

La federazione delle identità per i carichi di lavoro consente a GKE su Azure di autenticarsi su Azure utilizzando un account di servizio Google. Questo metodo di autenticazione in Azure è più semplice del metodo di autenticazione AzureClient precedente, che richiede di gestire i certificati e caricarli manualmente in Azure Active Directory (AD).

Per configurare una credenziale di identità federata nell'applicazione Azure AD, esegui i comandi seguenti. Tieni presente che puoi aggiungere fino a 20 credenziali a ogni applicazione Azure AD.

Crea un file JSON denominato credential.json.

{
  "name": "CREDENTIAL_NAME",
  "issuer": "https://accounts.google.com",
  "subject": "service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com",
  "audiences": ["api://AzureADTokenExchange"],
  "description": "Allow GKE on Azure to authenticate to the Azure AD application using a Google service account."
}

CREDENTIAL_NAME: il nome della credenziale.
PROJECT_NUMBER: il numero del Google Cloud progetto che ospita il cluster.

Crea una credenziale di identità federata nell'applicazione Azure AD:

az ad app federated-credential create --id "${APPLICATION_ID}" --parameters credential.json

Per maggiori dettagli, consulta la documentazione di Azure sulla federazione delle identità per i workload di Azure AD con Google Cloud.

Puoi anche eseguire il provisioning della credenziale dell'identità federata di Azure utilizzando Terraform. Per maggiori dettagli, vedi azuread_application_federated_identity_credential.

Passaggi successivi

Creare assegnazioni di ruoli Azure