La compatibilidad con las identidades administradas y las identidades de cargas de trabajo ya está disponible con carácter general (GA) para los clústeres de Microsoft Azure Red Hat OpenShift. Al ser una oferta totalmente administrada, Azure Red Hat OpenShift es una plataforma de aplicaciones confiable, integral y uniforme que te permite diseñar, implementar y administrar tus aplicaciones a escala. Está operado y diseñado en conjunto por Red Hat y Microsoft, lo que proporciona una experiencia de soporte integrada y permite que las organizaciones se centren en diseñar e implementar aplicaciones, en lugar de administrar la infraestructura subyacente.
Este es un hito importante que proporciona una postura de seguridad mejorada para la forma en que tus clústeres de Azure Red Hat OpenShift acceden a otros recursos de Azure. Esto te permite eliminar la complejidad de administrar las credenciales de las entidades de servicio y adoptar un proceso de autenticación más optimizado y seguro.
¿Por qué usar identidades administradas?
Como se analizó en el blog anterior, las identidades administradas mejoran considerablemente la seguridad, ya que reemplazan las credenciales a largo plazo, como los secretos de cliente, por tokens de corta duración. Este enfoque minimiza el riesgo asociado con la vulneración debido a la breve vida útil de un token y a los permisos definidos de forma precisa. Otro beneficio es la reducción de la sobrecarga operativa, ya que eliminan la necesidad de la administración y rotación manual de secretos, claves y certificados.
Cómo usar las identidades administradas
Para usar las identidades administradas para un clúster de Azure Red Hat OpenShift, debes crear identidades administradas asignadas por el usuario para cada componente de Azure Red Hat OpenShift y proporcionar las asignaciones de roles adecuadas sobre los recursos necesarios. Azure Red Hat OpenShift utiliza varias identidades administradas asignadas por los usuarios, cada una asignada a un operador o componente en particular. Estas identidades están asociadas con un rol específico integrado, y cada asignación de roles tiene un alcance que sigue los principios de privilegios mínimos. Una vez completado, puedes usarlos en la creación del clúster.
Con la versión de disponibilidad general, puedes aprovisionar clústeres de Azure Red Hat OpenShift de identidad administrada con Azure Resource Manager (ARM), Bicep o la extensión actual de la interfaz de línea de comandos (CLI). Pronto habilitaremos esta función de forma nativa en la CLI de Azure y a través de Azure Portal. Para obtener una guía completa, consulta Understand managed identities in Azure Red Hat OpenShift.
Uso de identidades para tus aplicaciones
En este contexto, nos referimos a ellas como “identidades de carga de trabajo”. Según la documentación de Microsoft Azure para What are workload identities?, se describe como “algo que necesitas para que tu entidad de software se autentique con algún sistema”. Para un clúster de Azure Red Hat OpenShift, puedes usar una identidad administrada asignada por el usuario para permitir que tus aplicaciones accedan a otros servicios de Azure.
Por ejemplo, puedes otorgar a una aplicación específica acceso de solo lectura a una sola instancia de Key Vault o cuenta de almacenamiento, sin compartir secretos ni credenciales a largo plazo.
Para implementar esto en tus aplicaciones, el flujo de trabajo general es el siguiente:
- Crear una identidad administrada asignada por el usuario
- Realizar una asignación de roles sobre el recurso de Azure deseado
- Crear una cuenta de servicio de Kubernetes y establecer las anotaciones correctas
- Crear una credencial federada
- Implementar tu aplicación, asegurándote de que se hayan configurado la etiqueta y la cuenta de servicio adecuadas
Lee Deploy and configure an application using workload identity on an Azure Red Hat OpenShift managed identity cluster para obtener más detalles.
¿Qué sucede con los clústeres de identidades administradas que se crearon durante la versión preliminar?
La buena noticia es que no se requiere ninguna acción para los clústeres de identidades administradas existentes. Todos los clústeres que se crearon durante el período de la versión preliminar pasarán automáticamente al estado de disponibilidad general y ahora son totalmente compatibles para su uso en producción. No se requieren cambios, migraciones ni reimplementaciones.
Ten en cuenta que los clústeres que actualmente utilizan una entidad de servicio no se ven afectados, y no se admite la migración a un clúster basado en identidad administrada.
Primeros pasos
Revisa la documentación del producto, comenzando con Understand managed identities in Azure Red Hat OpenShift, que explica los conceptos, los componentes y las consideraciones necesarias para implementar un clúster con éxito. Mientras se finalizan las experiencias de la CLI y el portal, se pueden crear clústeres con ARM, Bicep o la extensión de la CLI existente. Los clústeres creados con la extensión son totalmente compatibles como GA.
Conclusión
Las funciones de identidad administrada y de identidad de carga de trabajo para Azure Red Hat OpenShift ya están disponibles con carácter general, lo que simplifica y hace más segura la conexión de tus clústeres a los servicios de Azure. En lugar de administrar los secretos de las entidades de servicio, obtienes tokens de corta duración, lo que significa menos trabajo para ti y mayor seguridad. La identidad de carga de trabajo incluso permite que tus aplicaciones obtengan acceso seguro y optimizado a los recursos de Azure. Puedes empezar a usarlo para clústeres nuevos de inmediato mediante ARM, Bicep o la extensión de la CLI, y cualquier persona con clústeres de versión preliminar de identidades administradas existentes estará automáticamente cubierta por el soporte de GA. Para obtener más información sobre Azure Red Hat OpenShift, consulta estos recursos:
Prueba del producto
Red Hat OpenShift Container Platform | Versión de prueba del producto
Sobre el autor
Más como éste
Unlock enterprise-ready, secure AI with Red Hat Lightspeed Agent for Google Cloud
Confidential guest reset on QEMU hypervisor: Design choices and approach
SREs on a plane | Technically Speaking
Navegar por canal
Automatización
Las últimas novedades en la automatización de la TI para los equipos, la tecnología y los entornos
Inteligencia artificial
Descubra las actualizaciones en las plataformas que permiten a los clientes ejecutar cargas de trabajo de inteligecia artificial en cualquier lugar
Nube híbrida abierta
Vea como construimos un futuro flexible con la nube híbrida
Seguridad
Vea las últimas novedades sobre cómo reducimos los riesgos en entornos y tecnologías
Edge computing
Conozca las actualizaciones en las plataformas que simplifican las operaciones en el edge
Infraestructura
Vea las últimas novedades sobre la plataforma Linux empresarial líder en el mundo
Aplicaciones
Conozca nuestras soluciones para abordar los desafíos más complejos de las aplicaciones
Virtualización
El futuro de la virtualización empresarial para tus cargas de trabajo locales o en la nube
