Disponibilità generale per identità gestite e identità del carico di lavoro su Microsoft Azure Red Hat OpenShift

2 febbraio 2026Oren Kashi3 minuti (tempo di lettura)

Il supporto per le identità gestite e le identità dei carichi di lavoro è ora disponibile a livello generale (GA) per i cluster Microsoft Azure Red Hat OpenShift. Si tratta di un’offerta completamente gestita e Azure Red Hat OpenShift è una piattaforma applicativa affidabile, completa e coerente per creare, distribuire e gestire applicazioni in modo scalabile. Gestita e progettata congiuntamente da Red Hat e Microsoft, offre un'esperienza di supporto integrata e consente alle organizzazioni di concentrarsi sulla creazione e sulla distribuzione delle applicazioni, anziché sulla gestione dell'infrastruttura alla base.

Questo è un traguardo importante che fornisce una maggiore sicurezza per il modo in cui i cluster Azure Red Hat OpenShift accedono ad altre risorse di Azure. Ciò consente di eliminare la complessità della gestione delle credenziali dell'entità servizio e di adottare un processo di autenticazione più semplice e sicuro.

Perché usare le identità gestite?

Come spiegato nel nostro precedente articolo del blog, le identità gestite migliorano notevolmente la sicurezza sostituendo le credenziali a lungo termine, come i segreti del client, con token di breve durata. Questo approccio riduce al minimo il rischio associato alla compromissione, grazie alla breve durata dei token e alle autorizzazioni definite in modo specifico. Un ulteriore vantaggio è la riduzione dei costi operativi, poiché viene meno la necessità di gestire e ruotare manualmente segreti, chiavi e certificati.

Come usare le identità gestite

Per usare le identità gestite per un cluster Azure Red Hat OpenShift, è necessario creare identità gestite assegnate dall'utente per ogni componente di Azure Red Hat OpenShift e fornire le corrette assegnazioni di ruolo per le risorse necessarie. Azure Red Hat OpenShift utilizza più identità gestite assegnate dagli utenti, ognuna associata a un operatore o a un componente specifico. Queste identità sono associate a uno specifico ruolo integrato e ogni assegnazione di ruolo è definita secondo i principi del privilegio minimo. Dopo aver completato questa operazione, è possibile utilizzare queste identità per la creazione del cluster.

Con la versione generalmente disponibile (GA), è possibile eseguire il provisioning dei cluster Azure Red Hat OpenShift con identità gestite tramite Azure Resource Manager (ARM), Bicep o l'attuale estensione dell'interfaccia a riga di comando (CLI). A breve abiliteremo questa funzionalità in modo nativo nell'interfaccia della riga di comando di Azure e tramite il portale di Azure. Per una guida completa, consultare le Informazioni sulle identità gestite in Azure Red Hat OpenShift.

Utilizzo delle identità per le applicazioni

In questo contesto, ci riferiamo a queste come “identità dei carichi di lavoro” Come indicato nell’articolo Microsoft Azure intitolato Che cosa sono le identità dei carichi di lavoro?, queste vengono descritte come elementi necessari per eseguire l'autenticazione dell'entità software con un sistema. Per un cluster Azure Red Hat OpenShift, è possibile utilizzare un'identità gestita assegnata dall'utente per consentire alle applicazioni di accedere ad altri servizi di Azure.

Ad esempio, è possibile concedere a una specifica applicazione l'accesso in sola lettura a un singolo Key Vault o account di storage, senza condividere segreti o credenziali a lungo termine.

Per implementare questa soluzione per le tue applicazioni, il flusso di lavoro generale è il seguente:

creare un'identità gestita assegnata dall'utente;
eseguire un'assegnazione di ruolo sulla risorsa di Azure desiderata;
creare un account di servizio Kubernetes e impostare le annotazioni corrette;
creare una credenziale federata;
distribuire l'applicazione, assicurandosi che l'etichetta e l'account di servizio corretti siano impostati.

Per maggiori dettagli, consultare Distribuire e configurare un'applicazione usando l'identità del carico di lavoro in un cluster di identità gestita di Azure Red Hat OpenShift.

Cosa succede ai cluster di identità gestite creati durante l'anteprima?

La buona notizia è che non è richiesta alcuna azione per i cluster di identità gestite esistenti. Tutti i cluster creati durante il periodo di anteprima passeranno automaticamente allo stato GA e ora sono completamente supportati per l'uso in produzione. Non sono necessarie modifiche, migrazioni o nuove distribuzioni.

Si noti che i cluster che attualmente utilizzano un'entità di servizio non sono interessati e la migrazione a un cluster gestito basato su identità non è supportata.

Come iniziare

Consultare la documentazione del prodotto a partire dall’articolo intitolato Informazioni sulle identità gestite in Azure Red Hat OpenShift, in cui vengono illustrati i concetti, i componenti e le considerazioni necessarie per distribuire correttamente un cluster. Mentre le esperienze dell'interfaccia della riga di comando (CLI) e del portale sono in fase di finalizzazione, è possibile creare cluster utilizzando ARM, Bicep o l'estensione CLI esistente. I cluster creati con l'estensione sono completamente supportati come GA.

Conclusione

Le funzionalità di identità gestita e identità del carico di lavoro per Azure Red Hat OpenShift sono ora generalmente disponibili, rendendo più semplice e sicuro connettere i cluster ai servizi di Azure. Invece di gestire i segreti dell'entità servizio, si ottengono token di breve durata. Questo si traduce in una riduzione del lavoro necessario e in una maggiore sicurezza. L'identità del carico di lavoro consente anche alle applicazioni di ottenere un accesso sicuro e ottimizzato alle risorse di Azure. È possibile iniziare subito a sfruttare queste funzionalità per i nuovi cluster utilizzando ARM, Bicep o l'estensione CLI; chiunque disponga di cluster di anteprima delle identità gestite esistenti sarà automaticamente coperto dal supporto GA. Per ulteriori informazioni su Azure Red Hat OpenShift, consulta le seguenti risorse: