现已全面支持微软 Azure 红帽 OpenShift集群的托管身份和工作负载身份(GA)。作为一款完全托管的产品,Azure 红帽 OpenShift 是一个值得信赖、全面且一致的应用平台,可用于大规模构建、部署和管理应用。红帽和微软联合运营和设计 Azure 红帽 OpenShift,从而提供集成的支持体验,并使组织能够专注于构建和部署应用,而不是管理底层基础架构。
这是一个重要的里程碑,为 Azure 红帽 OpenShift 集群访问其他 Azure 资源的方式提供了增强的安全性。这使您能够消除管理服务主体凭据的复杂性,并采用更精简、更安全的身份验证流程。
为什么要使用托管身份?
正如我们在上一篇博客中所述,托管身份通过使用有效期短的令牌替换长期凭据(如客户端机密)来显著增强安全性。由于令牌的生命周期短且权限定义窄,因此这种方法可以最大限度地降低与泄露相关的风险。另一个好处是减少了运营开销,因为它们无需手动管理和轮换机密、密钥和证书。
如何使用托管身份
要将托管身份用于 Azure 红帽 OpenShift 集群,必须为每个 Azure 红帽 OpenShift 组件创建由用户分配的托管身份,并通过所需资源提供正确的角色分配。Azure 红帽 OpenShift 使用多个由用户分配的托管身份,每个身份都映射到一个特定的 Operator 或组件。这些身份与特定的内置角色相关联,并且每个角色分配的作用域都遵循最小权限原则。完成后,即可在创建集群时使用这些身份。
在此 GA 版本中,可以使用 Azure 资源管理器 (ARM)、Bicep 或最新的命令行界面 (CLI) 扩展来预配已配置托管身份的 Azure 红帽 OpenShift 集群。我们很快将通过 Azure CLI 和 Azure 门户以原生方式启用此功能。有关完整指南,请阅读了解 Azure 红帽 OpenShift 中的托管身份。
将身份用于应用
在这种情况下,我们称其为“工作负载身份”。根据微软 Azure 文档中关于什么是工作负载身份?的描述,工作负载身份是“您的软件实体需要通过某个系统进行身份验证”。对于 Azure 红帽 OpenShift 集群,可以使用由用户分配的托管身份,以使应用能够访问其他 Azure 服务。
例如,可以授予特定应用对单个 Key Vault 或存储帐户的只读访问权限,而无需共享机密或长期凭据。
要为应用实施此操作,一般工作流程如下:
- 创建由用户分配的托管身份
- 对所需的 Azure 资源执行角色分配
- 创建 Kubernetes 服务帐户并设置正确的注解
- 创建联合凭据
- 部署应用,确保设置了正确的标签和服务帐户
有关更多详细信息,请参阅在 Azure 红帽 OpenShift 托管身份集群上使用工作负载身份部署和配置应用。
在预览期间创建的托管身份集群会怎样?
好消息是,现有托管身份集群无需执行任何操作。在预览期间创建的任何集群都将自动过渡到 GA 状态,并且现在完全支持生产用途。无需更改、迁移或重新部署。
请注意,当前使用服务主体的集群不受影响,并且不支持迁移到基于托管身份的集群。
开始使用
查看产品文档,从了解 Azure 红帽 OpenShift 中的托管身份 开始,其中介绍了成功部署集群所需的概念、组件和注意事项。在最终确定 CLI 和门户体验时,可以使用 ARM、Bicep 或现有的 CLI 扩展来创建集群。正式发布后,将完全支持使用扩展创建的集群。
结论
Azure 红帽 OpenShift 的托管身份和工作负载身份功能现已全面推出,从而让您能够更轻松、更安全地将集群连接到 Azure 服务。您无需管理服务主体机密,而是获得有效期短的令牌,这意味着可以减少工作量并提高安全性。工作负载身份甚至可以让应用安全、精细地访问 Azure 资源。您可以通过使用 ARM、Bicep 或 CLI 扩展立即加入并开始将其用于新集群,并且任何具有现有托管身份预览集群的用户都将自动获得 GA 支持。要了解有关 Azure 红帽 OpenShift 的更多信息,请查看以下资源:
