Een service-principal maken en gebruiken om een Azure Red Hat OpenShift-cluster te implementeren
Voor interactie met Azure-API's is voor een Azure Red Hat OpenShift-cluster een Microsoft Entra-service-principal vereist. Deze service-principal wordt gebruikt voor het dynamisch maken, beheren of openen van andere Azure-resources, zoals een Azure Load Balancer of een Azure Container Registry (ACR). Zie Toepassings- en service-principalobjecten in Microsoft Entra-id voor meer informatie.
In dit artikel wordt uitgelegd hoe u een service-principal maakt en gebruikt om uw Azure Red Hat OpenShift-clusters te implementeren met behulp van de Azure-opdrachtregelinterface (Azure CLI) of Azure Portal.
Notitie
Service-principals verlopen in één jaar, tenzij deze zijn geconfigureerd voor langere perioden. Zie Referenties voor service-principals roteren voor uw Azure Red Hat OpenShift-cluster (ARO) voor meer informatie over het verlengen van de verloopperiode van uw service-principal.
Een service-principal maken en gebruiken
In de volgende secties wordt uitgelegd hoe u een service-principal maakt en gebruikt om een Azure Red Hat OpenShift-cluster te implementeren.
Vereisten - Azure CLI
Als u de Azure CLI gebruikt, moet Azure CLI versie 2.30.0 of hoger zijn geïnstalleerd en geconfigureerd. Voer az --version uit om de versie te bekijken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
Een resourcegroep maken - Azure CLI
Voer de volgende Azure CLI-opdracht uit om een resourcegroep te maken waarin uw Azure Red Hat OpenShift-cluster zich bevindt.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Een service-principal maken en op rollen gebaseerd toegangsbeheer (RBAC) toewijzen - Azure CLI
Voer de volgende opdracht uit om de rol inzender toe te wijzen en de service-principal toe te wijzen aan de Azure Red Hat OpenShift-resourcegroep.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Notitie
Service-principals moeten uniek zijn per ARO-cluster (Azure RedHat OpenShift).
De uitvoer lijkt op die in het volgende voorbeeld:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Belangrijk
Deze service-principal staat alleen een inzender toe voor de resourcegroep waarin het Azure Red Hat OpenShift-cluster zich bevindt. Als uw VNet zich in een andere resourcegroep bevindt, moet u ook de rol van inzender voor de service-principal toewijzen aan die resourcegroep. U moet ook uw Azure Red Hat OpenShift-cluster maken in de resourcegroep die u hierboven hebt gemaakt.
Als u machtigingen wilt verlenen aan een bestaande service-principal met Azure Portal, raadpleegt u Een Microsoft Entra-app en service-principal maken in de portal.
Een service-principal maken met Azure Portal
Als u een service-principal wilt maken voor uw Azure Red Hat OpenShift-cluster via Azure Portal, raadpleegt u De portal gebruiken om een Microsoft Entra-toepassing en service-principal te maken die toegang heeft tot resources. Zorg ervoor dat u de toepassings-id (client) en het geheim opslaat.