Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Untuk berinteraksi dengan Azure API, kluster Azure Red Hat OpenShift memerlukan perwakilan layanan Microsoft Entra. Perwakilan layanan atau identitas terkelola diperlukan untuk secara dinamis, membuat, dan mengelola sumber daya Azure lainnya seperti penyeimbang muatan Azure Container Registry (ACR). Untuk informasi selengkapnya, lihat Objek aplikasi dan layanan utama di Microsoft Entra ID.
Artikel ini menjelaskan cara membuat dan menggunakan perwakilan layanan untuk menyebarkan kluster Azure Red Hat OpenShift Anda menggunakan antarmuka baris perintah Azure (Azure CLI) atau portal Azure.
Nota
Perwakilan layanan kedaluwarsa dalam satu tahun kecuali dikonfigurasi untuk jangka waktu yang lebih lama. Untuk informasi tentang memperpanjang periode kedaluwarsa perwakilan layanan Anda, lihat Memutar kredensial perwakilan layanan untuk Kluster Azure Red Hat OpenShift (ARO) Anda.
Membuat dan menggunakan perwakilan layanan
Bagian berikut menjelaskan cara membuat dan menggunakan perwakilan layanan untuk menyebarkan kluster Azure Red Hat OpenShift.
Prasyarat - Azure CLI
Jika Anda menggunakan Azure CLI, Anda memerlukan Azure CLI versi 2.30.0 atau yang lebih baru yang diinstal dan dikonfigurasi. Jalankan az --version untuk menemukan versinya. Jika Anda perlu menginstal atau memperbarui, lihat Install Azure CLI.
Membuat grup sumber daya - Azure CLI
Jalankan perintah Azure CLI berikut untuk membuat grup sumber daya tempat kluster Azure Red Hat OpenShift Anda akan berada.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Membuat perwakilan layanan dan menetapkan kontrol akses berbasis peran (RBAC) - Azure CLI
Untuk menetapkan peran kontributor dan mencakup perwakilan layanan ke grup sumber daya Azure Red Hat OpenShift, jalankan perintah berikut.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Nota
Perwakilan layanan harus unik per Kluster Azure RedHat OpenShift (ARO).
Outputnya mirip dengan contoh berikut:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Penting
Perwakilan layanan ini hanya memungkinkan kontributor atas grup sumber daya tempat kluster Azure Red Hat OpenShift berada. Jika VNet Anda berada di grup sumber daya lain, Anda juga perlu menetapkan peran kontributor perwakilan layanan ke grup sumber daya tersebut. Anda juga perlu membuat kluster Azure Red Hat OpenShift di grup sumber daya yang Anda buat di atas.
Untuk memberikan izin kepada perwakilan layanan yang ada dengan portal Azure, lihat Membuat aplikasi Microsoft Entra dan perwakilan layanan di portal.
Membuat perwakilan layanan menggunakan portal Azure
Untuk membuat perwakilan layanan untuk kluster Azure Red Hat OpenShift Anda melalui portal Azure, lihat Menggunakan portal untuk membuat aplikasi Microsoft Entra dan perwakilan layanan yang dapat mengakses sumber daya. Pastikan untuk menyimpan ID Aplikasi (klien) dan rahasia.