Creare e usare un'entità servizio per distribuire un cluster Azure Red Hat OpenShift

Per interagire con le API di Azure, un cluster Azure Red Hat OpenShift richiede un'entità servizio Microsoft Entra. Questa entità servizio viene usata per creare, gestire o accedere in modo dinamico ad altre risorse di Azure, ad esempio un servizio di bilanciamento del carico di Azure o un Registro Azure Container (ACR). Per altre informazioni, vedere Oggetti applicazione e entità servizio in Microsoft Entra ID.

Questo articolo illustra come creare e usare un'entità servizio per distribuire i cluster Azure Red Hat OpenShift usando l'interfaccia della riga di comando di Azure o il portale di Azure.

Nota

Le entità servizio scadono in un anno a meno che non siano configurate per periodi più lunghi. Per informazioni sull'estensione del periodo di scadenza dell'entità servizio, vedere Ruotare le credenziali dell'entità servizio per il cluster Azure Red Hat OpenShift (ARO).

Creare e usare un'entità servizio

Le sezioni seguenti illustrano come creare e usare un'entità servizio per distribuire un cluster Azure Red Hat OpenShift.

Prerequisiti - Interfaccia della riga di comando di Azure

Se si usa l'interfaccia della riga di comando di Azure, è necessaria l'interfaccia della riga di comando di Azure versione 2.30.0 o successiva installata e configurata. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.

Creare un gruppo di risorse - Interfaccia della riga di comando di Azure

Eseguire il comando seguente dell'interfaccia della riga di comando di Azure per creare un gruppo di risorse in cui risiederà il cluster Azure Red Hat OpenShift.

AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)

Creare un'entità servizio e assegnare il controllo degli accessi in base al ruolo - Interfaccia della riga di comando di Azure

Per assegnare il ruolo collaboratore e definire l'ambito dell'entità servizio al gruppo di risorse Azure Red Hat OpenShift, eseguire il comando seguente.

# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv) 
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group 
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"

Nota

Le entità servizio devono essere univoche per ogni cluster Azure RedHat OpenShift (ARO).

L'output è simile all'esempio seguente:

{ 

  "appId": "", 

  "displayName": "myAROClusterServicePrincipal", 

  "name": "http://myAROClusterServicePrincipal", 

  "password": "yourpassword", 

  "tenant": "yourtenantname"

}

Importante

Questa entità servizio consente solo un collaboratore al gruppo di risorse in cui si trova il cluster Azure Red Hat OpenShift. Se la rete virtuale si trova in un altro gruppo di risorse, è necessario assegnare anche il ruolo di collaboratore dell'entità servizio a tale gruppo di risorse. È anche necessario creare il cluster Azure Red Hat OpenShift nel gruppo di risorse creato in precedenza.

Per concedere le autorizzazioni a un'entità servizio esistente con il portale di Azure, vedere Creare un'app Microsoft Entra e un'entità servizio nel portale.

Creare un'entità servizio con il portale di Azure

Per creare un'entità servizio per il cluster Azure Red Hat OpenShift tramite il portale di Azure, vedere Usare il portale per creare un'applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse. Assicurarsi di salvare l'ID applicazione (client) e il segreto.