Tworzenie i używanie jednostki usługi do wdrażania klastra usługi Azure Red Hat OpenShift
Aby korzystać z interfejsów API platformy Azure, klaster usługi Azure Red Hat OpenShift wymaga jednostki usługi Microsoft Entra. Ta jednostka usługi służy do dynamicznego tworzenia, zarządzania lub uzyskiwania dostępu do innych zasobów platformy Azure, takich jak moduł równoważenia obciążenia platformy Azure lub usługa Azure Container Registry (ACR). Aby uzyskać więcej informacji, zobacz Application and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w usłudze Microsoft Entra ID).
W tym artykule wyjaśniono, jak utworzyć jednostkę usługi i używać jej do wdrażania klastrów usługi Azure Red Hat OpenShift przy użyciu interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal.
Uwaga
Jednostki usługi wygasają w ciągu jednego roku, chyba że są skonfigurowane przez dłuższy czas. Aby uzyskać informacje na temat rozszerzania okresu wygaśnięcia jednostki usługi, zobacz Rotacja poświadczeń jednostki usługi dla klastra usługi Azure Red Hat OpenShift (ARO).
Tworzenie i używanie jednostki usługi
W poniższych sekcjach opisano sposób tworzenia i używania jednostki usługi do wdrażania klastra Usługi Azure Red Hat OpenShift.
Wymagania wstępne — interfejs wiersza polecenia platformy Azure
Jeśli używasz interfejsu wiersza polecenia platformy Azure, musisz zainstalować i skonfigurować interfejs wiersza polecenia platformy Azure w wersji 2.30.0 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Tworzenie grupy zasobów — interfejs wiersza polecenia platformy Azure
Uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure, aby utworzyć grupę zasobów, w której będzie znajdować się klaster usługi Azure Red Hat OpenShift.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Tworzenie jednostki usługi i przypisywanie kontroli dostępu opartej na rolach (RBAC) — interfejs wiersza polecenia platformy Azure
Aby przypisać rolę współautora i ograniczyć zakres jednostki usługi do grupy zasobów usługi Azure Red Hat OpenShift, uruchom następujące polecenie.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Uwaga
Jednostki usługi muszą być unikatowe dla klastra usługi Azure RedHat OpenShift (ARO).
Dane wyjściowe są podobne do poniższego przykładu:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Ważne
Ta jednostka usługi umożliwia tylko współautorowi w grupie zasobów, w której znajduje się klaster Azure Red Hat OpenShift. Jeśli sieć wirtualna znajduje się w innej grupie zasobów, musisz również przypisać rolę współautora jednostki usługi do tej grupy zasobów. Musisz również utworzyć klaster usługi Azure Red Hat OpenShift w utworzonej powyżej grupie zasobów.
Aby udzielić uprawnień do istniejącej jednostki usługi w witrynie Azure Portal, zobacz Tworzenie aplikacji Microsoft Entra i jednostki usługi w portalu.
Tworzenie jednostki usługi za pomocą witryny Azure Portal
Aby utworzyć jednostkę usługi dla klastra usługi Azure Red Hat OpenShift za pośrednictwem witryny Azure Portal, zobacz Tworzenie aplikacji i jednostki usługi Microsoft Entra przy użyciu portalu, które mogą uzyskiwać dostęp do zasobów. Pamiętaj, aby zapisać identyfikator aplikacji (klienta) i wpis tajny.