컨테이너 레지스트리에서 다른 Microsoft Entra 테넌트의 AKS 클러스터로 이미지 끌어오기
경우에 따라 하나의 Microsoft Entra 테넌트에 Azure AKS 클러스터가 있고 다른 테넌트에 Azure Container Registry가 있을 수 있습니다. 이 문서에서는 AKS 서비스 주체 자격 증명을 사용하여 컨테이너 레지스트리에서 끌어오기 위해 테넌트 간 인증을 사용하도록 설정하는 단계를 안내합니다.
참고 항목
클러스터 및 컨테이너 레지스트리가 서로 다른 테넌트에 있는 경우 AKS 관리 ID를 사용하여 레지스트리를 연결하고 인증할 수 없습니다.
시나리오 개요
이 예는 다음과 같은 가정을 전제로 합니다.
- AKS 클러스터는 테넌트 A에 있고 Azure Container Registry는 테넌트 B에 있습니다.
- AKS 클러스터는 테넌트 A에서 서비스 주체 인증으로 구성됩니다. AKS 클러스터에 대한 서비스 주체를 만들고 사용하는 방법에 대해 자세히 알아봅니다.
AKS 클러스터의 구독에서 기여자 역할 이상이 필요하고 컨테이너 레지스트리의 구독에서 소유자 역할이 필요합니다.
다음 단계를 사용합니다.
- 테넌트 A에서 새 다중 테넌트 앱(서비스 주체)을 만듭니다.
- 테넌트 B에서 앱을 프로비저닝합니다.
- 테넌트 B의 레지스트리에서 끌어오도록 서비스 주체를 구성합니다.
- 새 서비스 주체를 사용하여 인증하도록 테넌트 A의 AKS 클러스터를 업데이트합니다.
단계별 지침
1단계: 다중 테넌트 Microsoft Entra 애플리케이션 만들기
테넌트 A에서 Azure Portal에 로그인합니다.
Microsoft Entra ID를 검색하여 선택합니다.
관리 아래에서 앱 등록 > + 새 등록을 선택합니다.
지원되는 계정 유형에서 모든 조직 디렉터리의 계정을 선택합니다.
리디렉션 URI로 https://www.microsoft.com를 입력합니다.
등록을 선택합니다.
개요 페이지에서 애플리케이션(클라이언트) ID를 기록해 둡니다. 2단계 및 4단계에서 사용됩니다.
인증서 및 비밀의 클라이언트 비밀에서 + 새 클라이언트 비밀을 선택합니다.
암호와 같은 설명을 입력하고 추가를 선택합니다.
클라이언트 비밀에서 클라이언트 비밀의 값을 기록해 둡니다. 4단계에서 AKS 클러스터의 서비스 주체를 업데이트하는 데 사용합니다.
2단계: ACR 테넌트에서 서비스 주체 프로비저닝
테넌트 B에서 관리자 계정을 사용하여 다음 링크를 엽니다. 표시된 경우 테넌트 B의 ID와 다중 테넌트 앱의 애플리케이션 ID(클라이언트 ID)를 삽입합니다.
https://login.microsoftonline.com/<Tenant B ID>/oauth2/authorize?client_id=<Multitenant application ID>&response_type=code&redirect_uri=<redirect url>
조직을 대신하여 동의를 선택한 다음 수락을 선택합니다.
3단계: 레지스트리에서 끌어올 수 있는 서비스 주체 권한 부여
테넌트 B에서 대상 컨테이너 레지스트리로 범위가 지정된 서비스 주체에 AcrPull 역할을 할당합니다. Azure Portal 또는 기타 도구를 사용하여 역할을 할당할 수 있습니다. Azure CLI를 사용하는 단계 예는 서비스 주체를 사용한 Azure Container Registry 인증을 참조하세요.
4단계: Microsoft Entra 애플리케이션 비밀로 AKS 업데이트
1단계에서 수집한 다중 테넌트 애플리케이션(클라이언트) ID 및 클라이언트 비밀을 사용하여 AKS 서비스 주체 자격 증명을 업데이트합니다.
서비스 주체를 업데이트하는 데 몇 분 정도 걸릴 수 있습니다.
다음 단계
- 서비스 주체를 사용한 Azure Container Registry 인증에 대해 자세히 알아보기
- Kubernetes 설명서에서 이미지 끌어오기 비밀에 대한 자세한 정보
- Microsoft Entra ID의 애플리케이션 및 서비스 주체 개체에 대해 알아봅니다.
- Kubernetes 클러스터에서 Azure Container Registry로 인증하는 시나리오에 대해 자세히 알아보기