GCP Workload Identity Federation으로 OpenID Connect 구성

JWT 토큰과 Workload Identity Federation을 사용하여 GitLab CI/CD에서 Google Cloud로 인증하는 방법.

Warning CI_JOB_JWT_V2 는 GitLab 15.9에서 더 이상 사용되지 않음 으로 표시되었으며 GitLab 17.0에서 제거될 예정입니다. 대신 ID 토큰 을 사용하세요. 이 튜토리얼은 JSON Web Token(JWT) 토큰과 Workload Identity Federation을 사용하여 GitLab CI/CD 잡에서 Google Cloud로 인증하는 방법을 보여줍니다. 이 구성은 시크릿을 저장할 필요 없이 온디맨드 단기 자격 증명을 생성합니다. 시작하려면 GitLab과 Google Cloud 간의 ID 페더레이션을 위해 OpenID Connect(OIDC)를 구성하세요. GitLab과 함께 OIDC를 사용하는 방법에 대한 자세한 내용은 클라우드 서비스에 연결 을 참조하세요. 이 튜토리얼에서는 Google Cloud 계정과 Google Cloud 프로젝트가 있다고 가정합니다. 귀하의 계정은 Google Cloud 프로젝트에서 최소한 워크로드 ID 풀 관리자 권한이 있어야 합니다. Note 이 튜토리얼 대신 Terraform 모듈과 CI/CD 템플릿을 사용하는 것을 선호한다면, OIDC로 Google Cloud와 GitLab CI/CD 파이프라인의 인증을 단순화하는 방법 을 참조하세요. 이 튜토리얼을 완료하려면: Google Cloud 워크로드 ID 풀 만들기 . 워크로드 ID 공급자 만들기 . 서비스 계정 가장 권한 부여 . 임시 자격 증명 가져오기 . Google Cloud 워크로드 ID 풀 만들기 # 다음 옵션을 사용하여 새 Google Cloud 워크로드 ID 풀 만들기 : 이름 : 워크로드 ID 풀의 사람이 읽기 쉬운 이름(예: GitLab ). 풀 ID : 워크로드 ID 풀의 Google Cloud 프로젝트 내 고유 ID(예: gitlab ). 이 값은 풀을 참조하는 데 사용되며 URL에 표시됩니다. 설명 : 선택 사항. 풀의 설명. 활성화된 풀 : 이 옵션이 true 인지 확인하세요. Google Cloud 프로젝트당 GitLab 설치당 하나의 풀을 만드는 것을 권장합니다. 동일한 GitLab 인스턴스에 여러 GitLab 리포지터리와 CI/CD 잡이 있는 경우 동일한 풀에 대해 서로 다른 공급자를 사용하여 인증할 수 있습니다. 워크로드 ID 공급자 만들기 # 이전 단계에서 만든 워크로드 ID 풀 내에서 다음 옵션을 사용하여 새 Google Cloud 워크로드 ID 공급자 만들기 : 공급자 유형 : OpenID Connect(OIDC). 공급자 이름 : 워크로드 ID 공급자의 사람이 읽기 쉬운 이름(예: gitlab/gitlab ). 공급자 ID : 워크로드 ID 공급자의 풀 내 고유 ID(예: gitlab-gitlab ). 이 값은 공급자를 참조하는 데 사용되며 URL에 표시됩니다. 발급자(URL) : GitLab 인스턴스의 주소(예: https://gitlab.com/ 또는 https://gitlab.example.com/ ). 주소는 https:// 프로토콜을 사용해야 합니다. 주소는 후행 슬래시로 끝나야