Použití instančního objektu

Azure AD instanční objekt můžete použít k oprávnění Azure CycleCloudu ke správě clusterů ve vašem předplatném (jako alternativu k použití spravované identity).

Volba mezi instančním objektem a spravovanou identitou

Pokud Bude CycleCloud spravovat jenom clustery v jednom předplatném, zvažte použití spravované identity místo instančního objektu.

Vzhledem k tomu, že CycleCloud může používat jenom jednu spravovanou identitu, je při správě clusterů ve více předplatných nebo tenantech vyžadováno použití instančních objektů.

Vytvoření instančního objektu

Azure CycleCloud vyžaduje instanční objekt s právy ke správě předplatného Azure. Pokud nemáte k dispozici instanční objekt, můžete ho vytvořit pomocí Azure CLI, jak je znázorněno níže.

Poznámka

Název instančního objektu musí být jedinečný. V následujícím příkladu by měla být aplikace CycleCloudApp nahrazena jedinečným názvem. Pokud spustíte následující příkaz s existujícím názvem, nahradí a zneplatní stávající instanční objekt.

az ad sp create-for-rbac --name CycleCloudApp --years 1

Výstup zobrazí řadu informací. Budete muset uložit appId, passworda tenant:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Oprávnění

Nejjednodušší možností (s dostatečnými přístupovými právy) je přiřadit roli Přispěvatel pro předplatné novému instančnímu objektu CycleCloud. Role přispěvatele má ale vyšší úroveň oprávnění, než vyžaduje CycleCloud. K virtuálnímu počítači se může vytvořit vlastní role a přiřadit ji.

Průvodce spravovanými identitmi obsahuje podrobnosti o vytvoření vhodné role AD s nižšími oprávněními pro instanční objekt.

Pokud chcete k udělení oprávnění CycleCloudu použít service principle, ujistěte se, že není zaškrtnuto políčko Spravovat identitu.