Bridge to Kubernetes로 관리 ID 사용

참고 항목

Microsoft는 더 이상 Bridge to Kubernetes 프로젝트를 적극적으로 유지 관리하지 않을 계획입니다. 앞으로 몇 개월 동안 프로젝트를 보관 상태로 전환할 것입니다. 그 동안 프로젝트를 계속 사용하고 다운로드할 수 있습니다. 이 기간 동안 나중에 사용할 수 있도록 Bridge to Kubernetes와 유사한 혜택을 제공하는 커뮤니티 프로젝트를 탐색하고 추천할 수 있기를 바랍니다. 질문이 있는 경우 GitHub의 문제 보드에서 문의하세요.

AKS 클러스터에서 관리 ID 보안 기능을 사용하여 비밀 및 리소스에 대한 액세스를 보호하는 경우 Bridge to Kubernetes가 이 기능과 작동할 수 있도록 하려면 특별한 구성이 필요합니다. 로컬 실행과 디버깅이 적절히 보호되도록 하려면 Microsoft Entra 토큰을 로컬 머신에 다운로드해야 하며 이렇게 하려면 Bridge to Kubernetes에 특별한 구성이 필요합니다. 이 문서에서는 관리 ID를 사용하는 서비스와 작동하도록 Bridge to Kubernetes를 구성하는 방법을 보여 줍니다.

관리 ID를 사용하도록 서비스를 구성하는 방법

관리 ID를 지원하는 로컬 머신를 사용하도록 설정하려면 KubernetesLocalConfig.yaml 파일의 enableFeatures 섹션에서 ManagedIdentity를 추가합니다. enableFeatures 섹션이 아직 없으면 추가합니다.

enableFeatures:
  - ManagedIdentity

Warning

Microsoft Entra 토큰이 로컬 머신으로 페치되어 보안 위험을 발생시킬 수 있으므로 프로덕션 클러스터가 아닌 개발 클러스터로 작업하는 경우에만 Bridge to Kubernetes에 관리 ID를 사용해야 합니다.

KubernetesLocalConfig.yaml 파일이 없으면 만들 수 있습니다. 방법: Bridge to Kubernetes 구성을 참조하세요.

Microsoft Entra 토큰을 가져오는 방법

토큰을 페치할 때 코드에서 Azure.Identity.DefaultAzureCredential 또는 Azure.Identity.ManagedIdentityCredential을 사용하고 있는지 확인해야 합니다.

다음 C# 코드는 ManagedIdentityCredential을 사용할 때 스토리지 계정 자격 증명을 페치하는 방법을 보여 줍니다.

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

다음 코드는 DefaultAzureCredential을 사용할 때 스토리지 계정 자격 증명을 페치하는 방법을 보여 줍니다.

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

관리 ID를 사용하여 다른 Azure 리소스에 액세스하는 방법을 알아보려면 다음 단계 섹션을 참조하세요.

토큰이 다운로드될 때 Azure 경고 수신

서비스에서 Bridge to Kubernetes를 사용할 때마다 Microsoft Entra 토큰이 로컬 머신에 다운로드됩니다. Azure 경고를 사용하도록 설정하여 Azure AD 토큰이 로컬 머신에 다운로드될 때 알림을 받을 수 있습니다. 자세한 내용은 Azure Defender 사용을 참조하세요. 30일 체험 기간이 끝난 후에는 요금이 청구됩니다.

다음 단계

관리 ID를 사용하는 AKS 클러스터에서 작동하도록 Bridge to Kubernetes를 구성했으므로 이제 평소대로 디버그할 수 있습니다. [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service]를 참조하세요.

다음 자습서에 따라 관리 ID를 사용하여 Azure 리소스에 액세스하는 방법에 대해 자세히 알아보세요.

• 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Storage에 액세스
• 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Data Lake Store에 액세스
• 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Key Vault에 액세스

관리 ID를 사용하여 다른 Azure 리소스에 액세스하는 방법에 대한 다른 자습서도 해당 섹션에 있습니다.

참고 항목

Microsoft Entra ID