Использование субъект-службы
Субъект-служба Azure AD может использоваться для разрешения Azure CycleCloud на управление кластерами в подписке (в качестве альтернативы использованию управляемого удостоверения).
Выбор между субъектом-службой и управляемым удостоверением
Если CycleCloud будет управлять кластерами только в одной подписке, рассмотрите возможность использования управляемого удостоверения, а не субъекта-службы.
Однако, так как CycleCloud может использовать только одно управляемое удостоверение, при управлении кластерами в нескольких подписках или клиентах требуется использование субъектов-служб.
Создание субъекта-службы
Для Azure CycleCloud требуется субъект-служба с правами на управление подпиской Azure. Если у вас нет субъекта-службы, его можно создать с помощью Azure CLI, как показано ниже.
Примечание
Имя субъекта-службы должно быть уникальным. В приведенном ниже примере CycleCloudApp следует заменить уникальным именем. При выполнении приведенной ниже команды с существующим именем она заменяет и делает недействительным существующий субъект-службу.
az ad sp create-for-rbac --name CycleCloudApp --years 1
В выходных данных отобразится ряд сведений. Вам потребуется сохранить appId, passwordи tenant.
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Разрешения
Самый простой вариант (с достаточными правами доступа) — назначить роль участника для подписки новому субъекту-службе CycleCloud. Однако роль участника имеет более высокий уровень привилегий, чем требуется CycleCloud. Можно создать настраиваемую роль и назначить ее виртуальной машине.
Руководство по управляемым удостоверениям содержит сведения о создании соответствующей роли AD с более низкими привилегиями для субъекта-службы.
Чтобы использовать субъект-службу для предоставления разрешений для CycleCloud, убедитесь, что флажок "Управление удостоверением" снят.
