Criar e usar uma entidade de serviço para implantar um cluster do Azure Red Hat OpenShift
Para interagir com as APIs do Azure, um cluster do Azure Red Hat OpenShift requer uma entidade de serviço Microsoft Entra. Essa entidade de serviço é usada para criar, gerenciar ou acessar dinamicamente outros recursos do Azure, como um balanceador de carga do Azure ou um Registro de Contêiner do Azure (ACR). Para obter mais informações, consulte Objetos principais de aplicativo e serviço no Microsoft Entra ID.
Este artigo explica como criar e usar uma entidade de serviço para implantar seus clusters do Azure Red Hat OpenShift usando a interface de linha de comando do Azure (CLI do Azure) ou o portal do Azure.
Nota
As entidades de serviço expiram em um ano, a menos que sejam configuradas para períodos mais longos. Para obter informações sobre como estender o período de expiração da entidade de serviço, consulte Girar credenciais da entidade de serviço para seu cluster do Azure Red Hat OpenShift (ARO).
Criar e usar uma entidade de serviço
As seções a seguir explicam como criar e usar uma entidade de serviço para implantar um cluster do Azure Red Hat OpenShift.
Pré-requisitos - CLI do Azure
Se você estiver usando a CLI do Azure, precisará da CLI do Azure versão 2.30.0 ou posterior instalada e configurada. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).
Criar um grupo de recursos - CLI do Azure
Execute o seguinte comando da CLI do Azure para criar um grupo de recursos no qual seu cluster do Azure Red Hat OpenShift residirá.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Criar uma entidade de serviço e atribuir controle de acesso baseado em função (RBAC) - Azure CLI
Para atribuir a função de colaborador e o escopo da entidade de serviço ao grupo de recursos do Azure Red Hat OpenShift, execute o seguinte comando.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Nota
As entidades de serviço devem ser exclusivas por Cluster RedHat OpenShift (ARO) do Azure.
O resultado é semelhante ao seguinte exemplo:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Importante
Essa entidade de serviço só permite um colaborador sobre o grupo de recursos no qual o cluster do Azure Red Hat OpenShift está localizado. Se sua rede virtual estiver em outro grupo de recursos, você precisará atribuir a função de contribuidor da entidade de serviço a esse grupo de recursos também. Você também precisa criar seu cluster do Azure Red Hat OpenShift no grupo de recursos criado acima.
Para conceder permissões a uma entidade de serviço existente com o portal do Azure, consulte Criar uma entidade de serviço e uma entidade de serviço do Microsoft Entra no portal.
Criar uma entidade de serviço com o portal do Azure
Para criar uma entidade de serviço para seu cluster Red Hat OpenShift do Azure por meio do portal do Azure, consulte Usar o portal para criar um aplicativo e uma entidade de serviço do Microsoft Entra que possam acessar recursos. Certifique-se de salvar o ID do aplicativo (cliente) e o segredo.