Creación y uso de una entidad de servicio para implementar un clúster de Red Hat OpenShift en Azure
Para interactuar con las API de Azure, un clúster de Red Hat OpenShift de Azure requiere una entidad de servicio de Microsoft Entra. Esta entidad de servicio se usa para crear, administrar o acceder dinámicamente a otros recursos de Azure, como Azure Load Balancer o Azure Container Registry (ACR). Para más información, consulte Objetos de aplicación y de entidad de servicio en Microsoft Entra ID.
En este artículo se explica cómo crear y usar una entidad de servicio para implementar los clústeres de Red Hat OpenShift en Azure mediante la interfaz de línea de comandos de Azure (Azure CLI) o Azure Portal.
Nota:
Las entidades de servicio expiran en un año a menos que se configuren para períodos más largos. Para obtener información sobre cómo extender el período de expiración de la entidad de servicio, consulte Rotación de credenciales de entidad de servicio para un clúster de Red Hat OpenShift en Azure (ARO).
Creación y uso de una entidad de servicio
Las siguientes secciones explican cómo crear y usar una entidad de servicio para implementar un clúster Red Hat OpenShift en Azure.
Requisitos previos: la CLI de Azure
Si usa la CLI de Azure, es preciso que esté instalada y configurada la versión 2.30.0 de la CLI de Azure, o cualquier otra posterior. Ejecute az --version
para encontrar la versión. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
Creación de un grupo de recursos - CLI de Azure
Ejecute el siguiente comando de la CLI de Azure para crear un grupo de recursos en el que residirá el clúster de Red Hat OpenShift en Azure.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Creación de una entidad de servicio y asignación de control de acceso basado en roles (RBAC): CLI de Azure
Para asignar el rol de colaborador y el alcance del servicio principal al grupo de recursos Red Hat OpenShift en Azure, ejecute el siguiente comando.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Nota:
Las entidades de servicio deben ser únicas por clúster de RedHat OpenShift (ARO) de Azure.
La salida es similar a la del ejemplo siguiente:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Importante
Esta entidad de servicio solo permite un colaborador en el grupo de recursos en el que se encuentra el clúster de Red Hat OpenShift en Azure. Si la red virtual está en otro grupo de recursos, también debe asignar el rol de colaborador de la entidad de servicio a ese grupo de recursos. También debe crear el clúster de Red Hat OpenShift en Azure en el grupo de recursos que ha creado anteriormente.
Para conceder permisos a una entidad de servicio existente con Azure Portal, consulte Creación de una aplicación y una entidad de servicio de Microsoft Entra en el portal.
Creación de una entidad de servicio con Azure Portal
Para crear una entidad de servicio para el clúster de Red Hat OpenShift de Azure a través de Azure Portal, consulte Uso del portal para crear una aplicación de Microsoft Entra y una entidad de servicio que puedan acceder a los recursos. Asegúrese de guardar el id. de la aplicación (cliente) y el secreto.