Membuat dan menggunakan perwakilan layanan untuk menyebarkan kluster Azure Red Hat OpenShift
Untuk berinteraksi dengan Azure API, kluster Azure Red Hat OpenShift memerlukan perwakilan layanan Microsoft Entra. Perwakilan layanan atau identitas terkelola diperlukan untuk secara dinamis, membuat, dan mengelola sumber daya Azure lainnya seperti penyeimbang muatan Azure Container Registry (ACR). Untuk informasi selengkapnya, lihat Objek perwakilan aplikasi dan layanan di ID Microsoft Entra.
Artikel ini menjelaskan cara membuat dan menggunakan perwakilan layanan untuk menyebarkan kluster Azure Red Hat OpenShift Anda menggunakan antarmuka baris perintah Azure (Azure CLI) atau portal Azure.
Catatan
Perwakilan layanan kedaluwarsa dalam satu tahun kecuali dikonfigurasi untuk jangka waktu yang lebih lama. Untuk informasi tentang memperpanjang periode kedaluwarsa perwakilan layanan Anda, lihat Memutar kredensial perwakilan layanan untuk Kluster Azure Red Hat OpenShift (ARO) Anda.
Membuat dan menggunakan perwakilan layanan
Bagian berikut menjelaskan cara membuat dan menggunakan perwakilan layanan untuk menyebarkan kluster Azure Red Hat OpenShift.
Prasyarat - Azure CLI
Jika Anda menggunakan Azure CLI, Anda memerlukan Azure CLI versi 2.30.0 atau yang lebih baru yang diinstal dan dikonfigurasi. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.
Membuat grup sumber daya - Azure CLI
Jalankan perintah Azure CLI berikut untuk membuat grup sumber daya tempat kluster Azure Red Hat OpenShift Anda akan berada.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Membuat perwakilan layanan dan menetapkan kontrol akses berbasis peran (RBAC) - Azure CLI
Untuk menetapkan peran kontributor dan mencakup perwakilan layanan ke grup sumber daya Azure Red Hat OpenShift, jalankan perintah berikut.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Catatan
Perwakilan layanan harus unik per Kluster Azure RedHat OpenShift (ARO).
Outputnya mirip dengan contoh berikut:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Penting
Perwakilan layanan ini hanya memungkinkan kontributor atas grup sumber daya tempat kluster Azure Red Hat OpenShift berada. Jika VNet Anda berada di grup sumber daya lain, Anda juga perlu menetapkan peran kontributor perwakilan layanan ke grup sumber daya tersebut. Anda juga perlu membuat kluster Azure Red Hat OpenShift di grup sumber daya yang Anda buat di atas.
Untuk memberikan izin kepada perwakilan layanan yang ada dengan portal Azure, lihat Membuat aplikasi Microsoft Entra dan perwakilan layanan di portal.
Membuat perwakilan layanan menggunakan portal Azure
Untuk membuat perwakilan layanan untuk kluster Azure Red Hat OpenShift Anda melalui portal Azure, lihat Menggunakan portal untuk membuat aplikasi Microsoft Entra dan perwakilan layanan yang dapat mengakses sumber daya. Pastikan untuk menyimpan ID Aplikasi (klien) dan rahasia.