Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как создать служебный принципал с помощью Azure CLI или портала Azure. Субъект-службу можно использовать при развертывании кластера Microsoft Azure Red Hat OpenShift. Новое развертывание кластера также создает субъект-службу.
Для взаимодействия с API Azure кластер Microsoft Azure Red Hat OpenShift требует учетную запись службы Microsoft Entra. Этот субъект-служба используется для динамического создания, управления или доступа к другим ресурсам Azure, таким как подсистема балансировки нагрузки Azure или реестр контейнеров Azure. Для получения дополнительной информации см. Объекты приложения и учетной записи службы в Microsoft Entra ID.
Срок действия субъектов-служб истекает в течение одного года, если не настроен более длительный период. Сведения о продлении периода истечения срока действия сервиса-посредника см. раздел "Обновление учетных данных сервиса-посредника для кластера Azure Red Hat OpenShift".
Создайте сервисного принципала
В следующих разделах объясняется, как создать служебный принципал для развертывания кластера Azure Red Hat OpenShift.
Предпосылки
Если вы используете Azure CLI, необходимо установить и настроить Azure CLI версии 2.30.0 или более поздней. Чтобы узнать версию, выполните команду az --version
. Если вам нужно установить или обновить, см. статью "Установка Azure CLI".
Создайте группу ресурсов
Чтобы создать группу ресурсов для кластера Azure Red Hat OpenShift, выполните следующую команду Azure CLI. Имя группы ресурсов хранится в переменной AZ_RG
.
AZ_RG=$(az group create --name test-aro-rg --location eastus2 --query name --output tsv)
Создание субъекта-службы и назначение управления доступом на основе ролей
Субъекты-службы должны быть уникальными для кластера Azure RedHat OpenShift. Следующие команды создают AZ_SUB_ID
переменную для хранения идентификатора подписки Azure и назначают роль участника и настраивают параметры главного объекта обслуживания в группе ресурсов Azure Red Hat OpenShift.
AZ_SUB_ID=$(az account show --query id --output tsv)
az ad sp create-for-rbac --name "test-aro-sp" --role Contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Результат аналогичен следующему примеру:
{
"appId": "55556666-ffff-7777-aaaa-8888bbbb9999",
"displayName": "test-aro-sp",
"password": "Gg7Hh~8Ii9.-Jj0Kk1Ll2Mm3Nn4Oo5_Pp6Qq7Rr8",
"tenant": "bbbbcccc-1111-dddd-2222-eeee3333ffff"
}
Запишите эту информацию и сохраните ее в безопасном месте. Значение пароля отображается только один раз. Дополнительные сведения о команде см. в az ad sp create-for-rbac.
Это важно
Этот субъект-служба разрешает доступ только учетной записи службы с ролью "Участник" к группе ресурсов, содержащей кластер Azure Red Hat OpenShift. Если виртуальная сеть находится в другой группе ресурсов, необходимо назначить роль участника-службы этой группе ресурсов. Кроме того, необходимо создать кластер Azure Red Hat OpenShift в группе ресурсов, созданной для субъекта-службы.
Чтобы предоставить разрешения существующему субъекту-службе с помощью портал Azure, см. статью "Создание приложения Microsoft Entra и субъекта-службы" на портале.
Создание субъекта-службы с помощью портала Azure
Сведения о создании субъекта-службы для кластера Azure Red Hat OpenShift на портале Azure см. в статье "Регистрация приложения Microsoft Entra" и создание субъекта-службы. Обязательно сохраните идентификатор приложения (клиента) и секрет и сохраните его в безопасном месте. Значение секрета отображается только один раз.
Роль Участника отображается в ролях привилегированного администратора при добавлении назначения роли на портале.
Очистите ресурсы
Вы можете удалить регистрацию приложения и сервисную учетную запись из Microsoft Entra ID, если они не нужны.
Следующие команды получают ID приложения и удаляют регистрацию приложения и учетную запись службы.
APP_ID=$(az ad app list --display-name test-aro-sp --query [].appId --output tsv)
az ad app delete --id $APP_ID
Перейдите к Microsoft Entra ID>регистрациям приложений>принадлежащие приложения. Введите отображаемое имя test-aro-sp, выберите имя и нажмите кнопку "Удалить".
Чтобы окончательно удалить регистрацию приложения, перейдите к удаленным приложениям, найдите имя приложения, установите флажок для приложения и нажмите кнопку "Удалить окончательно".
Связанный контент
Дополнительные сведения о создании субъекта-службы в Azure CLI и назначении ролей см. в статье "Создание субъекта-службы Azure с помощью Azure CLI " и назначение ролей Azure с помощью Azure CLI.