Создание и использование субъекта-службы для развертывания кластера Azure Red Hat OpenShift
Для взаимодействия с API Azure кластер Azure Red Hat OpenShift требует субъекта-службы Microsoft Entra. Этот субъект-служба необходим для динамического создания и управления другими ресурсами Azure, например подсистемой балансировки нагрузки Azure или Реестром контейнеров Azure (ACR). Дополнительные сведения см. в разделе "Объекты приложения и субъекта-службы" в идентификаторе Microsoft Entra.
В этой статье объясняется, как создать и использовать субъект-службу для развертывания кластеров Azure Red Hat OpenShift с помощью интерфейса командной строки Azure (Azure CLI) или портал Azure.
Примечание.
Срок действия субъектов-служб истекает в течение одного года, если не настроен более длительный период. Сведения о том, как продлить срок действия субъекта-службы, см. в статье Смена учетных данных субъекта-службы для кластера Azure Red Hat OpenShift (ARO).
Создание и использование субъекта-службы
В следующих разделах объясняется, как создать и использовать субъект-службу для развертывания кластера Azure Red Hat OpenShift.
Предварительные условия (Azure CLI)
Если вы используете Azure CLI, вам потребуется Azure CLI версии 2.30.0 или более поздней версии. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.
Создание группы ресурсов — Azure CLI
Выполните следующую команду Azure CLI, чтобы создать группу ресурсов, в которой будет находиться кластер Azure Red Hat OpenShift.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Создание субъекта-службы и назначение управления доступом на основе ролей (RBAC) — Azure CLI
Чтобы назначить роль участник и область субъект-службу группе ресурсов Azure Red Hat OpenShift, выполните следующую команду.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Примечание.
Субъекты-службы должны быть уникальными для каждого кластера Azure RedHat OpenShift (ARO).
Вы должны увидеть результат, аналогичный приведенному ниже.
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Важно!
Этот субъект-служба разрешает только роль участника для группы ресурсов, в которой находится кластер Azure Red Hat OpenShift. Если виртуальная сеть находится в другой группе ресурсов, вам придется назначить субъекту-службе роль участника еще и в этой группе. Кроме того, необходимо создать кластер Azure Red Hat OpenShift в созданной выше группе ресурсов.
Чтобы предоставить разрешения существующему субъекту-службе с помощью портал Azure, см. статью "Создание приложения Microsoft Entra и субъекта-службы" на портале.
Создание субъекта-службы с помощью портала Azure
Сведения о создании субъекта-службы для кластера Azure Red Hat OpenShift с помощью портал Azure см. на портале, чтобы создать приложение Microsoft Entra и субъект-службу, которые могут получить доступ к ресурсам. Обязательно сохраните идентификатор приложения (клиента) и секрет.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по