Bridge to Kubernetes로 관리 ID 사용
AKS 클러스터에서 관리 ID 보안 기능을 사용하여 비밀 및 리소스에 대한 액세스를 보호하는 경우 Bridge to Kubernetes가 이 기능과 작동할 수 있도록 하려면 특별한 구성이 필요합니다. 로컬 실행과 디버깅이 적절히 보호되도록 하려면 Microsoft Entra 토큰을 로컬 머신에 다운로드해야 하며 이렇게 하려면 Bridge to Kubernetes에 특별한 구성이 필요합니다. 이 문서에서는 관리 ID를 사용하는 서비스와 작동하도록 Bridge to Kubernetes를 구성하는 방법을 보여 줍니다.
관리 ID를 사용하도록 서비스를 구성하는 방법
관리 ID를 지원하는 로컬 머신를 사용하도록 설정하려면 KubernetesLocalConfig.yaml 파일의 enableFeatures 섹션에서 ManagedIdentity를 추가합니다. enableFeatures 섹션이 아직 없으면 추가합니다.
enableFeatures:
- ManagedIdentity
Warning
Microsoft Entra 토큰이 로컬 머신으로 페치되어 보안 위험을 발생시킬 수 있으므로 프로덕션 클러스터가 아닌 개발 클러스터로 작업하는 경우에만 Bridge to Kubernetes에 관리 ID를 사용해야 합니다.
KubernetesLocalConfig.yaml 파일이 없으면 만들 수 있습니다. 방법: Bridge to Kubernetes 구성을 참조하세요.
Microsoft Entra 토큰을 가져오는 방법
토큰을 페치할 때 코드에서 Azure.Identity.DefaultAzureCredential 또는 Azure.Identity.ManagedIdentityCredential을 사용하고 있는지 확인해야 합니다.
다음 C# 코드는 ManagedIdentityCredential을 사용할 때 스토리지 계정 자격 증명을 페치하는 방법을 보여 줍니다.
var credential = new ManagedIdentityCredential(miClientId);
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
다음 코드는 DefaultAzureCredential을 사용할 때 스토리지 계정 자격 증명을 페치하는 방법을 보여 줍니다.
var credential = new DefaultAzureCredential();
Console.WriteLine("Created credential");
var containerClient = new BlobContainerClient(new Uri($"https://{accountName}.blob.windows.net/{containerName}"), credential);
Console.WriteLine("Created blob client");
관리 ID를 사용하여 다른 Azure 리소스에 액세스하는 방법을 알아보려면 다음 단계 섹션을 참조하세요.
토큰이 다운로드될 때 Azure 경고 수신
서비스에서 Bridge to Kubernetes를 사용할 때마다 Microsoft Entra 토큰이 로컬 머신에 다운로드됩니다. Azure 경고를 사용하도록 설정하여 Azure AD 토큰이 로컬 머신에 다운로드될 때 알림을 받을 수 있습니다. 자세한 내용은 Azure Defender 사용을 참조하세요. 30일 체험 기간이 끝난 후에는 요금이 청구됩니다.
다음 단계
관리 ID를 사용하는 AKS 클러스터에서 작동하도록 Bridge to Kubernetes를 구성했으므로 이제 평소대로 디버그할 수 있습니다. [bridge-to-kubernetes.md#connect-to-your-cluster-and-debug-a-service]를 참조하세요.
다음 자습서에 따라 관리 ID를 사용하여 Azure 리소스에 액세스하는 방법에 대해 자세히 알아보세요.
- 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Storage에 액세스
- 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Data Lake Store에 액세스
- 자습서: Linux VM 시스템 할당 관리 ID를 사용하여 Azure Key Vault에 액세스
관리 ID를 사용하여 다른 Azure 리소스에 액세스하는 방법에 대한 다른 자습서도 해당 섹션에 있습니다.
참고 항목
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기