La prise en charge des identités gérées et des identités de charge de travail est désormais généralement disponible pour les clusters Microsoft Azure Red Hat OpenShift. En tant que solution entièrement gérée, Azure Red Hat OpenShift est une plateforme d’applications fiable, complète et cohérente permettant de créer, de déployer et de gérer vos applications à grande échelle. Conçue et gérée conjointement par Red Hat et Microsoft, elle offre une assistance intégrée et permet aux entreprises de se concentrer sur la création et le déploiement d’applications plutôt que sur la gestion de l’infrastructure sous-jacente.
Il s’agit d’une étape importante qui renforce la sécurité de l’accès des clusters Azure Red Hat OpenShift aux autres ressources Azure. Cela vous permet d’éliminer la complexité liée à la gestion des informations d’identification du principal de service et d’adopter un processus d’authentification plus rationalisé et sécurisé.
Pourquoi utiliser des identités gérées ?
Comme indiqué dans notre article de blog précédent, les identités gérées améliorent considérablement la sécurité en remplaçant les informations d’identification à long terme, telles que les secrets client, par des jetons à courte durée de vie. Cette approche réduit les risques associés à une compromission en raison de la courte durée de vie d’un jeton et d’autorisations étroitement définies. Un autre avantage est la réduction des frais d'exploitation, car elles éliminent la nécessité d’une gestion et d’une rotation manuelles des secrets, des clés et des certificats.
Utilisation des identités gérées
Pour utiliser des identités gérées pour un cluster Azure Red Hat OpenShift, vous devez créer des identités gérées attribuées par l’utilisateur pour chaque composant Azure Red Hat OpenShift et attribuer les rôles appropriés aux ressources requises. La solution Azure Red Hat OpenShift utilise plusieurs identités gérées attribuées par l’utilisateur, chacune étant mise en correspondance avec un opérateur ou un composant spécifique. Ces identités sont associées à un rôle intégré spécifique, chaque rôle étant attribué conformément aux principes du moindre privilège. Une fois cette opération terminée, vous pouvez les utiliser pour créer le cluster.
Avec cette version généralement disponible, vous pouvez provisionner des clusters Azure Red Hat OpenShift basés sur des identités gérées avec Azure Resource Manager (ARM), Bicep ou l’extension actuelle de l’interface de ligne de commande. Nous activerons prochainement cette fonctionnalité en mode natif dans l’interface de ligne de commande Azure et via le portail Azure. Pour obtenir un guide complet, consultez l’article Understand managed identities in Azure Red Hat OpenShift.
Utilisation d’identités pour vos applications
Dans ce contexte, nous parlons d’« identités de charge de travail ». Selon la documentation Microsoft Azure concernant What are workload identities?, cette identité est décrite comme « un élément dont l’entité logicielle a besoin pour s’authentifier auprès d’un système ». Dans le cas d’un cluster Azure Red Hat OpenShift, vous pouvez utiliser une identité gérée attribuée par l’utilisateur pour permettre à vos applications d’accéder à d’autres services Azure.
Par exemple, vous pouvez accorder à une application spécifique un accès en lecture seule à un seul Key Vault ou compte de stockage, sans partager de secrets ni d’informations d’identification à long terme.
Pour implémenter cette solution pour vos applications, le workflow général est le suivant :
- Créer une identité gérée attribuée par l’utilisateur
- Attribuer un rôle à la ressource Azure souhaitée
- Créer un compte de service Kubernetes et définir les annotations appropriées
- Créer des informations d’identification fédérées
- Déployez votre application, en vous assurant que l’étiquette et le compte de service appropriés sont définis.
Pour plus d’informations, consultez Deploy and configure an application using workload identity on an Azure Red Hat OpenShift managed identity cluster.
Qu’adviendra-t-il des clusters d’identités gérées qui ont été créés pendant la version préliminaire ?
La bonne nouvelle est qu’aucune action n’est requise pour les clusters d’identités gérées existants. Tous les clusters créés au cours de la période préliminaire passeront automatiquement en statut GA et seront désormais entièrement pris en charge pour une utilisation en production. Aucune modification, migration ou redéploiement n’est nécessaire.
Notez que les clusters qui utilisent actuellement un principal de service ne sont pas affectés et que la migration vers un cluster géré basé sur l’identité n’est pas prise en charge.
Démarrage
Consultez la documentation du produit, en commençant par Understand managed identities in Azure Red Hat OpenShift, qui explique les concepts, les composants et les éléments à prendre en compte pour déployer un cluster. Pendant la finalisation des expériences avec l’interface de ligne de commande et le portail, il est possible de créer des clusters à l’aide d’ARM, de Bicep ou de l’extension de l’interface de ligne de commande existante. Les clusters créés à l’aide de l’extension sont entièrement pris en charge en tant que GA.
Conclusion
Les fonctions d’identité gérée et d’identité des charges de travail pour Azure Red Hat OpenShift sont désormais généralement disponibles, ce qui simplifie et sécurise la connexion de vos clusters aux services Azure. Au lieu de gérer les secrets du principal de service, vous obtenez des jetons à courte durée de vie, ce qui signifie moins de travail et une sécurité accrue. L’identité des charges de travail permet même à vos applications d’accéder de manière sécurisée et précise aux ressources Azure. Vous pouvez commencer à l’utiliser immédiatement pour de nouveaux clusters en utilisant ARM, Bicep ou l’extension CLI, et toute personne disposant déjà d’un cluster d’aperçu d’identité gérée bénéficiera automatiquement de la prise en charge en disponibilité générale. Pour en savoir plus sur Azure Red Hat OpenShift, consultez les ressources suivantes :
Essai de produit
Red Hat OpenShift Container Platform | Essai de produit
À propos de l'auteur
Plus de résultats similaires
Modernize virtual machines on Google Cloud with Red Hat OpenShift Virtualization
Stop searching, start operating: Scale hybrid clusters with Red Hat Advanced Cluster Management for Kubernetes 2.16
SREs on a plane | Technically Speaking
Parcourir par canal
Automatisation
Les dernières nouveautés en matière d'automatisation informatique pour les technologies, les équipes et les environnements
Intelligence artificielle
Actualité sur les plateformes qui permettent aux clients d'exécuter des charges de travail d'IA sur tout type d'environnement
Cloud hybride ouvert
Découvrez comment créer un avenir flexible grâce au cloud hybride
Sécurité
Les dernières actualités sur la façon dont nous réduisons les risques dans tous les environnements et technologies
Edge computing
Actualité sur les plateformes qui simplifient les opérations en périphérie
Infrastructure
Les dernières nouveautés sur la plateforme Linux d'entreprise leader au monde
Applications
À l’intérieur de nos solutions aux défis d’application les plus difficiles
Virtualisation
L'avenir de la virtualisation d'entreprise pour vos charges de travail sur site ou sur le cloud
