Erstellen und Verwenden eines Dienstprinzipals zum Bereitstellen eines Azure Red Hat OpenShift-Clusters
Um mit Azure-APIs zu interagieren, erfordert ein Azure Red Hat OpenShift-Cluster einen Microsoft Entra-Dienstprinzipal. Dieser Dienstprinzipal wird für die dynamische Erstellung und Verwaltung anderer Azure-Ressourcen wie Azure Load Balancer oder Azure Container Registry (ACR) sowie den Zugriff darauf verwendet. Weitere Informationen finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.
In diesem Artikel wird erläutert, wie Sie einen Dienstprinzipal zum Bereitstellen Ihrer Azure Red Hat OpenShift-Cluster mithilfe der Azure-Befehlszeilenschnittstelle (Azure CLI) oder des Azure-Portals erstellen und verwenden.
Hinweis
Dienstprinzipale laufen in einem Jahr ab, es sei denn, es wurde ein längerer Zeitraum konfiguriert. Informationen zum Verlängern des Ablaufzeitraums für den Dienstprinzipal finden Sie unter Rotieren der Anmeldeinformationen eines Dienstprinzipals für Ihren ARO-Cluster (Azure Red Hat OpenShift).
Erstellen und Verwenden eines Dienstprinzipals
In den folgenden Abschnitten wird erläutert, wie Sie einen Dienstprinzipal erstellen und verwenden, um einen Azure Red Hat OpenShift-Cluster bereitzustellen.
Voraussetzungen: Azure CLI
Wenn Sie die Azure CLI verwenden, muss mindestens die Azure CLI-Version 2.30.0 installiert und konfiguriert sein. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
Erstellen einer Ressourcengruppe – Azure CLI
Führen Sie den folgenden Azure CLI-Befehl aus, um eine Ressourcengruppe zu erstellen, die Ihren Azure Red Hat OpenShift-Cluster aufnehmen soll.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Erstellen eines Dienstprinzipals und Zuweisen einer rollenbasierten Zugriffssteuerung (RBAC) – Azure CLI
Führen Sie den folgenden Befehl aus, um die Rolle „Mitwirkender“ zuzuweisen und den Dienstprinzipal für die Azure Red Hat OpenShift-Ressourcengruppe festzulegen.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Hinweis
Dienstprinzipale müssen pro Azure RedHat OpenShift (ARO)-Cluster eindeutig sein.
Die Ausgabe sieht in etwa wie das folgende Beispiel aus:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Wichtig
Dieser Dienstprinzipal lässt nur einen Mitwirkenden für die Ressourcengruppe zu, in der sich der Azure Red Hat OpenShift-Cluster befindet. Wenn sich Ihr VNet in einer anderen Ressourcengruppe befindet, müssen Sie der Ressourcengruppe auch die Dienstprinzipalrolle „Mitwirkender“ zuweisen. Sie müssen auch Ihren Azure Red Hat OpenShift-Cluster in der oben erstellten Ressourcengruppe erstellen.
Informationen zum Erteilen von Berechtigungen für einen vorhandenen Dienstprinzipal mit dem Azure-Portal finden Sie unter Erstellen einer Microsoft Entra-App und eines Dienstprinzipals im Portal.
Erstellen eines Dienstprinzipals über das Azure-Portal
Informationen zum Erstellen eines Dienstprinzipals für Ihren Azure Red Hat OpenShift-Cluster über das Azure-Portal finden Sie unter Verwenden des Portals zum Erstellen einer Microsoft Entra-Anwendung und eines Dienstprinzipals, die auf Ressourcen zugreifen können. Achten Sie darauf, die Client-ID (Anwendungs-ID) und das Geheimnis zu speichern.