建立用戶端憑證
Azure 中的 GKE 會使用 AzureClient 資源向 Azure 進行驗證。建立用戶端時,Google 會產生金鑰組。您將公開金鑰上傳至 Azure Active Directory (Azure AD)。GKE Multi-Cloud API 會使用 AzureClient,以應用程式的服務主體身分進行驗證。
您可以使用同一個 AzureClient,在同一個 Google Cloud 專案中建立多個叢集。如果您已有 AzureClient,請跳至「建立 SSH 金鑰組」。
如要建立 AzureClient,請執行下列指令:
使用 Azure 租戶和應用程式 ID 設定環境變數:
export SUBSCRIPTION_ID=$(az account show --query "id" --output tsv) export TENANT_ID=$(az account list \ --query "[?id=='${SUBSCRIPTION_ID}'].{tenantId:tenantId}" --output tsv) export APPLICATION_ID=$(az ad app list --all \ --query "[?displayName=='APPLICATION_NAME'].appId" --output tsv)
將
APPLICATION_NAME
替換為您完成必要條件時使用的 Azure AD 應用程式名稱。建立用戶端:
gcloud container azure clients create CLIENT_NAME \ --location=GOOGLE_CLOUD_LOCATION \ --tenant-id="${TENANT_ID}" \ --application-id="${APPLICATION_ID}"
更改下列內容:
CLIENT_NAME
:AzureClient 的名稱GOOGLE_CLOUD_LOCATION
:管理叢集的支援區域 Google Cloud ,例如us-west1
從 AzureClient 取得憑證,並儲存至環境變數:
CERT=$(gcloud container azure clients get-public-cert --location=GOOGLE_CLOUD_LOCATION \ CLIENT_NAME)
更改下列內容:
GOOGLE_CLOUD_LOCATION
CLIENT_NAME
將憑證上傳至 Azure AD 上的應用程式:
az ad app credential reset --id "${APPLICATION_ID}" --cert "${CERT}" --append
上傳憑證後,請等待至少一分鐘,讓憑證準備就緒,再建立叢集。如果指令失敗,請再試一次。