Bridge to Kubernetes에서 관리 ID 사용

메모

Bridge to Kubernetes는 2025년 4월 30일에 사용 중지됩니다. 사용 중지 및 오픈 소스 대안에 대한 자세한 내용은 GitHub문제를 참조하세요.

AKS 클러스터가 관리 ID 보안 기능을 사용하여 비밀 및 리소스에 대한 액세스를 보호하는 경우 Bridge to Kubernetes는 이러한 기능을 사용할 수 있도록 몇 가지 특별한 구성이 필요합니다. 로컬 실행 및 디버깅이 제대로 보호되도록 하려면 Microsoft Entra 토큰을 로컬 컴퓨터에 다운로드해야 하며, 이를 위해서는 Bridge to Kubernetes에서 특별한 구성이 필요합니다. 이 문서에서는 관리 ID를 사용하는 서비스를 사용하도록 Bridge to Kubernetes를 구성하는 방법을 보여 줍니다.

관리 ID를 사용하도록 서비스를 구성하는 방법

관리 ID를 지원하는 로컬 컴퓨터를 사용하도록 설정하려면 KubernetesLocalConfig.yaml 파일의 enableFeatures 섹션에서 ManagedIdentity추가합니다. 아직 없는 경우 enableFeatures 섹션을 추가합니다.

enableFeatures:
  - ManagedIdentity

경고

Microsoft Entra 토큰이 로컬 머신으로 페치되어 잠재적인 보안 위험을 초래하기 때문에 프로덕션 클러스터가 아닌 개발 클러스터로 작업할 때는 Bridge to Kubernetes에 대한 관리 ID만 사용해야 합니다.

KubernetesLocalConfig.yaml 파일이 없는 경우 만들 수 있습니다. 방법: Bridge to Kubernetes구성을 참조하세요.

Microsoft Entra 토큰을 가져오는 방법

토큰을 가져올 때 코드에서 Azure.Identity.DefaultAzureCredential 또는 Azure.Identity.ManagedIdentityCredential 사용하는지 확인해야 합니다.

다음 C# 코드는 ManagedIdentityCredential사용할 때 스토리지 계정 자격 증명을 가져오는 방법을 보여 줍니다.

var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

다음 코드에서는 DefaultAzureCredential을 사용할 때 스토리지 계정 자격 증명을 가져오는 방법을 보여 줍니다.

var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");

관리 ID를 사용하여 다른 Azure 리소스에 액세스하는 방법을 알아보려면 다음 단계 섹션을 참조하세요.

토큰을 다운로드할 때 Azure 경고 수신

서비스에서 Bridge to Kubernetes를 사용할 때마다 Microsoft Entra 토큰이 로컬 컴퓨터에 다운로드됩니다. Azure 경고가 발생하면 알림을 받도록 설정할 수 있습니다. 자세한 내용은 Azure Defender 사용 설정을 참조하세요. 요금이 부과됩니다(30일 평가 기간 후).

다음 단계

관리 ID를 사용하는 AKS 클러스터에서 작동하도록 Bridge to Kubernetes를 구성했으므로 정상적으로 디버그할 수 있습니다. [bridge-to-kubernetes.md#클러스터에-연결하고-서비스를-디버깅하는-방법]을 참조하세요.

다음 자습서를 수행하여 관리형 식별을 사용하여 Azure 리소스에 액세스하는 방법에 대해 자세히 알아봅니다.

• 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Storage 액세스
• 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Data Lake Store 액세스
• 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Key Vault 액세스

관리 ID를 사용하여 다른 Azure 리소스에 액세스하기 위한 자습서도 이 섹션에 있습니다.

참고 항목

Microsoft Entra ID