Freigeben über


Erstellen und Verwenden eines Dienstprinzipals zum Bereitstellen eines Azure Red Hat OpenShift-Clusters

Um mit Azure-APIs zu interagieren, erfordert ein Azure Red Hat OpenShift-Cluster einen Microsoft Entra-Dienstprinzipal. Dieser Dienstprinzipal wird für die dynamische Erstellung und Verwaltung anderer Azure-Ressourcen wie Azure Load Balancer oder Azure Container Registry (ACR) sowie den Zugriff darauf verwendet. Weitere Informationen finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.

In diesem Artikel wird erläutert, wie Sie einen Dienstprinzipal zum Bereitstellen Ihrer Azure Red Hat OpenShift-Cluster mithilfe der Azure-Befehlszeilenschnittstelle (Azure CLI) oder des Azure-Portals erstellen und verwenden.

Hinweis

Dienstprinzipale laufen in einem Jahr ab, es sei denn, es wurde ein längerer Zeitraum konfiguriert. Informationen zum Verlängern des Ablaufzeitraums für den Dienstprinzipal finden Sie unter Rotieren der Anmeldeinformationen eines Dienstprinzipals für Ihren ARO-Cluster (Azure Red Hat OpenShift).

Erstellen und Verwenden eines Dienstprinzipals

In den folgenden Abschnitten wird erläutert, wie Sie einen Dienstprinzipal erstellen und verwenden, um einen Azure Red Hat OpenShift-Cluster bereitzustellen.

Voraussetzungen: Azure CLI

Wenn Sie die Azure CLI verwenden, muss mindestens die Azure CLI-Version 2.30.0 installiert und konfiguriert sein. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Erstellen einer Ressourcengruppe – Azure CLI

Führen Sie den folgenden Azure CLI-Befehl aus, um eine Ressourcengruppe zu erstellen, die Ihren Azure Red Hat OpenShift-Cluster aufnehmen soll.

AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)

Erstellen eines Dienstprinzipals und Zuweisen einer rollenbasierten Zugriffssteuerung (RBAC) – Azure CLI

Führen Sie den folgenden Befehl aus, um die Rolle „Mitwirkender“ zuzuweisen und den Dienstprinzipal für die Azure Red Hat OpenShift-Ressourcengruppe festzulegen.

# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv) 
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group 
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"

Hinweis

Dienstprinzipale müssen pro Azure RedHat OpenShift (ARO)-Cluster eindeutig sein.

Die Ausgabe sieht in etwa wie das folgende Beispiel aus:

{ 

  "appId": "", 

  "displayName": "myAROClusterServicePrincipal", 

  "name": "http://myAROClusterServicePrincipal", 

  "password": "yourpassword", 

  "tenant": "yourtenantname"

}

Wichtig

Dieser Dienstprinzipal lässt nur einen Mitwirkenden für die Ressourcengruppe zu, in der sich der Azure Red Hat OpenShift-Cluster befindet. Wenn sich Ihr VNet in einer anderen Ressourcengruppe befindet, müssen Sie der Ressourcengruppe auch die Dienstprinzipalrolle „Mitwirkender“ zuweisen. Sie müssen auch Ihren Azure Red Hat OpenShift-Cluster in der oben erstellten Ressourcengruppe erstellen.

Informationen zum Erteilen von Berechtigungen für einen vorhandenen Dienstprinzipal mit dem Azure-Portal finden Sie unter Erstellen einer Microsoft Entra-App und eines Dienstprinzipals im Portal.

Erstellen eines Dienstprinzipals über das Azure-Portal

Informationen zum Erstellen eines Dienstprinzipals für Ihren Azure Red Hat OpenShift-Cluster über das Azure-Portal finden Sie unter Verwenden des Portals zum Erstellen einer Microsoft Entra-Anwendung und eines Dienstprinzipals, die auf Ressourcen zugreifen können. Achten Sie darauf, die Client-ID (Anwendungs-ID) und das Geheimnis zu speichern.