Utilizzare Workload Identity con Google Cloud

Workload Identity ti consente di assegnare l'autorizzazione e identità distinte e granulari per ogni applicazione nel tuo cluster. Workload Identity è il metodo consigliato per le applicazioni in esecuzione in GKE su AWS per accedere ai serviziGoogle Cloud . Per maggiori informazioni, consulta Workload Identity.

Questo argomento descrive come utilizzare Workload Identity per connettersi ai serviziGoogle Cloud dai tuoi workload.

Configura un Google Cloud service account

In questa sezione, creerai un account di servizio Google (GSA) con autorizzazioni limitate per accedere ai servizi Google Cloud . Google Cloud

Recuperare il fornitore e il pool di identità del workload

Per configurare l'identità del workload, devi disporre dei valori per l'URI del provider di identità e dei pool di identità per i carichi di lavoro del tuo cluster.

  1. Determina il pool di identità del workload per il tuo cluster:

    Tutti i cluster GKE hanno un provider di identità creato nel pool di identità del workload PROJECT_ID.svc.id.goog. Per ottenere il nome del pool di identità del cluster, utilizza Google Cloud CLI:

    gcloud container aws clusters describe CLUSTER_NAME \
    --location=GOOGLE_CLOUD_LOCATION \
    --format='value(workloadIdentityConfig.workloadPool)'

    Sostituisci quanto segue:

    • CLUSTER_NAME con il nome del cluster.
    • GOOGLE_CLOUD_LOCATION con il nome della Google Cloud posizione che gestisce il cluster

    L'output include il nome del pool di identità del cluster. Salva questo valore. Ne avrai bisogno successivamente.

  2. Determina il provider di identità per il tuo cluster.

    Per trovare il nome del provider di identità del cluster, utilizza Google Cloud CLI:

    gcloud container aws clusters describe CLUSTER_NAME \
    --location=GOOGLE_CLOUD_LOCATION \
    --format='value(workloadIdentityConfig.identityProvider)'

    Sostituisci quanto segue:

    • CLUSTER_NAME
    • GOOGLE_CLOUD_LOCATION

    L'output include il nome del provider di identità del cluster. Salva questo valore. Ne avrai bisogno successivamente.

Crea un Google Cloud service account

Per creare un service account Google Cloud (GSA), concedergli le autorizzazioni e aggiungere un binding dei criteri IAM al GSA:

  1. Crea il GSA con Google Cloud CLI:

    gcloud iam service-accounts create GSA_NAME --project=PROJECT_ID

    Sostituisci quanto segue:

    • GSA_NAME: il nome del GSA per la tua applicazione.
    • PROJECT_ID: il progetto Google Cloud di GSA.

  2. Aggiungi un'associazione IAM per consentire all'agente di servizio Google di accedere ai servizi.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role IAM_ROLE

    Sostituisci quanto segue:

    • GSA_NAME: il nome del GSA per la tua applicazione
    • PROJECT_ID: l'ID progetto per GSA
    • IAM_ROLE: il ruolo IAM da concedere al GSA

    In questo esempio, utilizzeremo il ruolo roles/compute.viewer, che consente l'accesso in sola lettura ai servizi di computing:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/compute.viewer

  3. Concedi le autorizzazioni al account di servizio Kubernetes (KSA) per rappresentare il service account Google. A questo scopo, aggiungi un'associazione della policy IAM con il ruolo roles/iam.workloadIdentityUser:

    gcloud iam service-accounts add-iam-policy-binding GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --member serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE//KSA_NAME] \
    --role roles/iam.workloadIdentityUser

    Sostituisci quanto segue:

    • GSA_NAME
    • PROJECT_ID
    • NAMESPACE: lo spazio dei nomi Kubernetes per l'applicazione
    • KSA_NAME: il KSA da utilizzare per l'applicazione

Deployment di un'applicazione di esempio

In questa sezione, esegui il deployment di un'applicazione di esempio che accede all'API Compute Engine. Per utilizzare questo esempio, al account di servizio deve essere concesso il ruolo IAM roles/compute.viewer. Per eseguire il deployment dell'applicazione di esempio, segui questi passaggi:

  1. Copia il seguente manifest in un file denominato workload-identity-sample.yaml:

    apiVersion: v1
kind: Namespace
metadata:
  name: NAMESPACE
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: KSA_NAME
  namespace: NAMESPACE
automountServiceAccountToken: false
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: cloud-sdk-config
  namespace: NAMESPACE
data:
  config: |
    {
      "type": "external_account",
      "audience": "identitynamespace:PROJECT_ID.svc.id.goog:IDENTITY_PROVIDER",
      "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/GSA_NAME@PROJECT_ID.iam.gserviceaccount.com:generateAccessToken",
      "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
      "token_url": "https://sts.googleapis.com/v1/token",
      "credential_source": {
        "file": "/var/run/secrets/tokens/gcp-ksa/token"
      }
    }
---
apiVersion: v1
kind: Pod
metadata:
  name: cloud-sdk-example
  namespace: NAMESPACE
spec:
  serviceAccount: KSA_NAME
  containers:
  - name: cloud-sdk
    image: gcr.io/google.com/cloudsdktool/cloud-sdk:latest
    command:
    - /bin/bash
    - -c
    - 'set -eu -o pipefail; while true; do gcloud compute zones list --filter="name ~ us-central1-*"; sleep 5; done'
    env:
    - name: CLOUDSDK_AUTH_CREDENTIAL_FILE_OVERRIDE
      value: /var/run/secrets/tokens/gcp-ksa/google-application-credentials.json
    - name: CLOUDSDK_CORE_PROJECT
      value: PROJECT_ID
    volumeMounts:
    - name: gcp-ksa
      mountPath: /var/run/secrets/tokens/gcp-ksa
      readOnly: true
  volumes:
  - name: gcp-ksa
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          audience: PROJECT_ID.svc.id.goog
          expirationSeconds: 86400
          path: token
      - configMap:
          name: cloud-sdk-config
          optional: false
          items:
          - key: config
            path: google-application-credentials.json

    Sostituisci quanto segue:

    • PROJECT_ID
    • NAMESPACE
    • KSA_NAME
    • GSA_NAME
    • IDENTITY_PROVIDER con il nome del provider di identità per il tuo cluster.

  2. Applica il manifest al cluster

    kubectl apply -f workload-identity-sample.yaml

  3. Verifica che l'applicazione di esempio funzioni, controlla i log del pod:

    kubectl logs -f cloud-sdk-example -n NAMESPACE

    Sostituisci quanto segue:

    • NAMESPACE

    Se il pod riesce ad accedere all'API Compute di Google Cloud, vedrai un output simile a questo:

    NAME           REGION       STATUS  NEXT_MAINTENANCE  TURNDOWN_DATE
us-central1-c  us-central1  UP
us-central1-a  us-central1  UP
us-central1-f  us-central1  UP
us-central1-b  us-central1  UP

Pulizia

  1. Elimina l'applicazione di esempio

    kubectl delete -f manifest.yaml

  2. Rimuovi l'associazione di policy IAM dall'account di servizio Google Cloud

    gcloud iam service-accounts remove-iam-policy-binding \
    GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --member serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE//KSA_NAME] \
    roles/iam.workloadIdentityUser

    Sostituisci quanto segue:

    • GSA_NAME
    • PROJECT_ID
    • NAMESPACE
    • KSA_NAME

  3. Rimuovi l'associazione della policy IAM dal progetto

    gcloud projects remove-iam-policy-binding PROJECT_ID \
    --member serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/compute.viewer

    Sostituisci quanto segue:

    • GSA_NAME
    • PROJECT_ID

  4. Elimina il account di servizio Google Cloud

    gcloud iam service-accounts delete \
   GSA_NAME@PROJECT_ID.iam.gserviceaccount.com

    Sostituisci quanto segue:

    • GSA_NAME
    • PROJECT_ID

Passaggi successivi