Criar e usar uma entidade de serviço para implantar um cluster do Red Hat OpenShift no Azure
Para interagir com as APIs do Azure, um cluster do Red Hat OpenShift no Azure requer uma entidade de serviço do Microsoft Entra. Essa entidade de serviço é usada para criar, gerenciar ou acessar outros recursos do Azure, como o Azure Load Balancer ou um ACR (Registro de Contêiner do Azure). Para obter mais informações, confira Objetos de aplicativo e entidade de serviço no Microsoft Entra ID.
Este artigo explica como criar e usar uma entidade de serviço para implantar os clusters do Red Hat OpenShift no Azure usando a CLI do Azure (interface de linha de comando do Azure) ou o portal do Azure.
Observação
As entidades de serviço expiram em um ano, a menos que sejam configuradas por períodos mais longos. Para obter informações sobre como prorrogar o período de validade da entidade de serviço, consulte Girar as credenciais da entidade de serviço para o Cluster do ARO (Red Hat OpenShift) no Azure.
Criar e usar uma entidade de serviço
As seções a seguir explicam como criar e usar uma entidade de serviço para implantar um cluster do Red Hat OpenShift no Azure.
Pré-requisitos - CLI do Azure
Se você estiver usando a CLI do Azure, a CLI do Azure versão 2.30.0 ou posterior precisará estar instalada e configurada. Execute az --version
para encontrar a versão. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.
Criar um grupo de recursos e - CLI do Azure
Execute o seguinte comando da CLI do Azure para criar um grupo de recursos no qual o cluster do Red Hat OpenShift no Azure residirá.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Criar uma entidade de serviço e atribuir RBAC (controle de acesso baseado em função) - CLI do Azure
Para atribuir a função de colaborador e definir o escopo da entidade de serviço ao grupo de recursos do Red Hat OpenShift no Azure, execute o comando a seguir.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Observação
As entidades de serviço devem ser exclusivas por Cluster do ARO (RedHat OpenShift) do Azure.
A saída deverá ser semelhante ao seguinte exemplo:
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Importante
Essa entidade de serviço permite apenas um colaborador sobre o grupo de recursos no qual o cluster do Red Hat OpenShift no Azure está localizado. Se sua VNet estiver em outro grupo de recursos, você também precisará atribuir a função de colaborador da entidade de serviço a esse grupo de recursos. Você também precisa criar o cluster Red Hat OpenShift no Azure no grupo de recursos criado acima.
Para conceder permissões a uma entidade de serviço existente com o portal do Azure, consulte Criar um aplicativo do Microsoft Entra e uma entidade de serviço no portal.
Crie uma entidade de serviço com o portal do Azure
Para criar uma entidade de serviço para o cluster do Red Hat OpenShift no Azure por meio do portal do Azure, consulte Usar o portal para criar um aplicativo e uma entidade de serviço do Microsoft Entra que possam acessar recursos. Salve o segredo e a ID do aplicativo (cliente).