Disponibilidade geral da identidade gerenciada e da identidade de workload no Microsoft Azure Red Hat OpenShift

O suporte para identidades gerenciadas e de workload agora está disponível ao público geral (GA) nos clusters do Microsoft Azure Red Hat OpenShift. Como uma oferta totalmente gerenciada, o Azure Red Hat OpenShift é uma plataforma de aplicações confiável, abrangente e consistente para criar, implantar e gerenciar suas aplicações em escala. Ele é operado e projetado em conjunto pela Red Hat e pela Microsoft, oferecendo uma experiência de suporte integrada e permitindo que as organizações se concentrem em criar e implantar aplicações, em vez de gerenciar a infraestrutura subjacente. 

Este é um marco significativo que fornece uma postura de segurança aprimorada para a forma como seus clusters do Azure Red Hat OpenShift acessam outros recursos do Azure. Isso permite que você elimine a complexidade do gerenciamento de credenciais de entidade de serviço e adote um processo de autenticação mais simplificado e seguro.

Por que usar identidades gerenciadas?

Conforme discutido em nosso blog anterior, as identidades gerenciadas aumentam significativamente a segurança ao substituir credenciais de longo prazo, como segredos de clientes, por tokens de curta duração. Essa abordagem minimiza o risco associado ao comprometimento devido à curta vida útil de um token e às permissões restritas. Outro benefício é a redução da sobrecarga operacional – elas eliminam a necessidade de gerenciamento manual e rotação de segredos, chaves e certificados. 

Como usar as identidades gerenciadas

Para usar identidades gerenciadas em um cluster do Azure Red Hat OpenShift, crie identidades gerenciadas atribuídas pelo usuário para cada componente do Azure Red Hat OpenShift e forneça as atribuições de função adequadas para os recursos necessários. O Azure Red Hat OpenShift usa várias identidades gerenciadas atribuídas ao usuário, cada uma mapeada para um operador ou componente específico. Essas identidades são associadas a uma função integrada específica, com cada atribuição de função seguindo os princípios de mínimo privilégio. Após a conclusão desse processo, você poderá usá-las na criação do cluster.

Com a versão GA, você pode provisionar clusters do Azure Red Hat OpenShift de identidade gerenciada usando o Azure Resource Manager (ARM), o Bicep ou a extensão atual da interface de linha de comando (CLI). Em breve, habilitaremos esse recurso de forma nativa na interface de linha de comando (CLI) do Azure e por meio do portal do Azure. Para obter um guia completo, leia o artigo "Entender identidades gerenciadas no Azure Red Hat OpenShift".

Como usar identidades em suas aplicações

Nesse contexto, nos referimos a ela como “workload identities”. De acordo com a documentação do Microsoft Azure "O que são workload identities?”, ela é descrita como “algo que você precisa para que sua entidade de software seja autenticada em algum sistema”. Para um cluster do Azure Red Hat OpenShift, você pode usar uma identidade gerenciada atribuída pelo usuário para permitir que suas aplicações acessem outros serviços do Azure.

Por exemplo, você pode conceder a uma aplicação específica acesso somente leitura a um único Key Vault ou conta de armazenamento, sem compartilhar segredos ou credenciais de longo prazo. 

Para implementar isso em suas aplicações, o fluxo de trabalho geral é:

1. Crie uma identidade gerenciada atribuída pelo usuário
2. Faça uma atribuição de função no recurso do Azure desejado
3. Crie uma conta de serviço do Kubernetes e defina as anotações corretas
4. Crie uma credencial federada
5. Implante sua aplicação, garantindo que o rótulo e a conta de serviço adequados estejam definidos

Leia Como implantar e configurar uma aplicação usando a workload identity em um cluster de identidade gerenciada do Azure Red Hat OpenShift para obter mais detalhes.

O que acontece com os clusters de identidade gerenciada criados durante a visualização?

A boa notícia é: nenhuma ação é necessária para os clusters de identidade gerenciada existentes. Todos os clusters criados durante o período de visualização passarão automaticamente para o status GA e agora têm suporte total para uso em produção. Não são necessárias alterações, migrações ou novas implementações. 

Observe que os clusters que utilizam uma entidade de serviço não são afetados, e a migração para um cluster gerenciado baseado em identidade não é compatível.

Introdução 

Analise a documentação da solução, começando pelo artigo "Entender identidades gerenciadas no Azure Red Hat OpenShift", que explica os conceitos, os componentes e as considerações necessárias para implementar um cluster com sucesso. Enquanto as experiências da CLI e do portal estão sendo finalizadas, os clusters podem ser criados usando ARM, Bicep ou a extensão da CLI existente. Os clusters criados usando a extensão são totalmente compatíveis com o GA.

Conclusão

As funcionalidades de identidade gerenciada e de workload identity para o Azure Red Hat OpenShift já estão disponíveis, simplificando e protegendo a conexão de seus clusters aos serviços do Azure. Em vez de gerenciar segredos de entidade de serviço, você recebe tokens de curta duração, significando menos trabalho e mais segurança. A workload identity permite até mesmo que suas aplicações tenham acesso seguro e otimizado aos recursos do Azure. Você pode começar a usá-lo para novos clusters imediatamente usando ARM, Bicep ou a extensão da CLI, e todos os usuários com clusters de visualização de identidade gerenciada existentes serão automaticamente cobertos pelo suporte GA. Para saber mais sobre o Azure Red Hat OpenShift, confira estes recursos:

• Documentação
• Visão geral da solução Azure Red Hat OpenShift
• Como implementar workloads de IA no Azure Red Hat OpenShift com identidades gerenciadas