建立用戶端憑證

Azure 中的 GKE 會使用 AzureClient 資源向 Azure 進行驗證。建立用戶端時,Google 會產生金鑰組。您將公開金鑰上傳至 Azure Active Directory (Azure AD)。GKE Multi-Cloud API 會使用 AzureClient,以應用程式的服務主體身分進行驗證。

您可以使用同一個 AzureClient,在同一個 Google Cloud 專案中建立多個叢集。如果您已有 AzureClient,請跳至「建立 SSH 金鑰組」。

如要建立 AzureClient,請執行下列指令:

  1. 使用 Azure 租戶和應用程式 ID 設定環境變數:

    export SUBSCRIPTION_ID=$(az account show --query "id" --output tsv)
    export TENANT_ID=$(az account list \
      --query "[?id=='${SUBSCRIPTION_ID}'].{tenantId:tenantId}" --output tsv)
    export APPLICATION_ID=$(az ad app list --all \
      --query "[?displayName=='APPLICATION_NAME'].appId" --output tsv)
    

    APPLICATION_NAME 替換為您完成必要條件時使用的 Azure AD 應用程式名稱。

  2. 建立用戶端:

    gcloud container azure clients create CLIENT_NAME \
      --location=GOOGLE_CLOUD_LOCATION \
      --tenant-id="${TENANT_ID}" \
      --application-id="${APPLICATION_ID}"
    

    更改下列內容:

  3. 從 AzureClient 取得憑證,並儲存至環境變數:

     CERT=$(gcloud container azure clients get-public-cert --location=GOOGLE_CLOUD_LOCATION \
          CLIENT_NAME)
    

    更改下列內容:

    • GOOGLE_CLOUD_LOCATION
    • CLIENT_NAME
  4. 將憑證上傳至 Azure AD 上的應用程式:

     az ad app credential reset --id "${APPLICATION_ID}" --cert "${CERT}" --append
    
  5. 上傳憑證後,請等待至少一分鐘,讓憑證準備就緒,再建立叢集。如果指令失敗,請再試一次。

後續步驟