Automatikus tanúsítványváltás engedélyezése Batch-készletben
Létrehozhat egy Batch-készletet egy tanúsítvánnyal, amely automatikusan megújítható. Ehhez a készletet egy felhasználó által hozzárendelt felügyelt identitással kell létrehozni, amely hozzáfér a tanúsítványhoz az Azure Key Vaultban.
Felhasználó által hozzárendelt identitás létrehozása
Először hozza létre a felhasználó által hozzárendelt felügyelt identitást ugyanabban a bérlőben, mint a Batch-fiók. Ennek a felügyelt identitásnak nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.
Ügyeljen arra, hogy jegyezze fel a felhasználó által hozzárendelt felügyelt identitás ügyfél-azonosítóját . Erre az értékre később szüksége lesz.
A tanúsítvány létrehozása
Ezután létre kell hoznia egy tanúsítványt, és hozzá kell adnia azt az Azure Key Vaulthoz. Ha még nem hozott létre kulcstartót, először ezt kell tennie. Útmutatásért tekintse meg a rövid útmutatót: Tanúsítvány beállítása és lekérése az Azure Key Vaultból az Azure Portal használatával.
A tanúsítvány létrehozásakor ügyeljen arra, hogy az élettartam-művelet típusa automatikusan megújuljon, és adja meg, hogy hány nap elteltével újítsa meg a tanúsítványt.
A tanúsítvány létrehozása után jegyezze fel a titkos azonosítóját. Erre az értékre később szüksége lesz.
Hozzáférési szabályzat hozzáadása az Azure Key Vaultban
A kulcstartóban rendeljen hozzá egy Key Vault hozzáférési szabályzatot, amely lehetővé teszi a felhasználó által hozzárendelt felügyelt identitás számára a titkos kulcsok és tanúsítványok elérését. Részletes útmutatásért lásd : Key Vault hozzáférési szabályzat hozzárendelése az Azure Portal használatával.
Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitással
Hozzon létre egy Batch-készletet a felügyelt identitással a Batch .NET felügyeleti kódtárával. További információ: Felügyelt identitások konfigurálása a Batch-készletekben.
Tipp.
A meglévő készletek nem frissíthetők a Key Vault virtuálisgép-bővítményével. Újra létre kell hoznia a készletet.
Az alábbi példa a Batch Management REST API használatával hoz létre egy készletet. Ügyeljen arra, hogy a tanúsítvány titkos azonosítóját observedCertificates
és a felügyelt identitás ügyfél-azonosítóját msiClientId
használja az alábbi példaadatok helyére.
REST API URI
PUT https://management.azure.com/subscriptions/<subscriptionid>/resourceGroups/<resourcegroupName>/providers/Microsoft.Batch/batchAccounts/<batchaccountname>/pools/<poolname>?api-version=2021-01-01
Kérelem törzse Linux-csomóponthoz
{
"name": "test2",
"type": "Microsoft.Batch/batchAccounts/pools",
"properties": {
"vmSize": "STANDARD_DS2_V2",
"taskSchedulingPolicy": {
"nodeFillType": "Pack"
},
"deploymentConfiguration": {
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "canonical",
"offer": "ubuntuserver",
"sku": "20.04-lts",
"version": "latest"
},
"nodeAgentSkuId": "batch.node.ubuntu 20.04",
"extensions": [
{
"name": "KVExtensions",
"type": "KeyVaultForLinux",
"publisher": "Microsoft.Azure.KeyVault",
"typeHandlerVersion": "3.0",
"autoUpgradeMinorVersion": true,
"settings": {
"secretsManagementSettings": {
"pollingIntervalInS": "300",
"certificateStoreLocation": "/var/lib/waagent/Microsoft.Azure.KeyVault",
"requireInitialSync": true,
"observedCertificates": [
"https://testkvwestus2s.vault.azure.net/secrets/authcertforumatesting/8f5f3f491afd48cb99286ba2aacd39af"
]
},
"authenticationSettings": {
"msiEndpoint": "http://169.254.169.254/metadata/identity",
"msiClientId": "b9f6dd56-d2d6-4967-99d7-8062d56fd84c"
}
}
}
]
}
},
"scaleSettings": {
"fixedScale": {
"targetDedicatedNodes": 1,
"resizeTimeout": "PT15M"
}
}
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ACR/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testumaforpools": {}
}
}
}
Kérelem törzse Windows-csomóponthoz
{
"name": "test2",
"type": "Microsoft.Batch/batchAccounts/pools",
"properties": {
"vmSize": "STANDARD_DS2_V2",
"taskSchedulingPolicy": {
"nodeFillType": "Pack"
},
"deploymentConfiguration": {
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "microsoftwindowsserver",
"offer": "windowsserver",
"sku": "2022-datacenter",
"version": "latest"
},
"nodeAgentSkuId": "batch.node.windows amd64",
"extensions": [
{
"name": "KVExtensions",
"type": "KeyVaultForWindows",
"publisher": "Microsoft.Azure.KeyVault",
"typeHandlerVersion": "3.0",
"autoUpgradeMinorVersion": true,
"settings": {
"secretsManagementSettings": {
"pollingIntervalInS": "300",
"requireInitialSync": true,
"observedCertificates": [
{
"url": "https://testkvwestus2s.vault.azure.net/secrets/authcertforumatesting/8f5f3f491afd48cb99286ba2aacd39af",
"certificateStoreLocation": "LocalMachine",
"keyExportable": true
}
]
},
"authenticationSettings": {
"msiEndpoint": "http://169.254.169.254/metadata/identity",
"msiClientId": "b9f6dd56-d2d6-4967-99d7-8062d56fd84c"
}
},
}
]
}
},
"scaleSettings": {
"fixedScale": {
"targetDedicatedNodes": 1,
"resizeTimeout": "PT15M"
}
},
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ACR/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testumaforpools": {}
}
}
}
A tanúsítvány ellenőrzése
A tanúsítvány sikeres üzembe helyezésének ellenőrzéséhez jelentkezzen be a számítási csomópontra. A következőhöz hasonló kimenetnek kell megjelennie:
root@74773db5fe1b42ab9a4b6cf679d929da000000:/var/lib/waagent/Microsoft.Azure.KeyVault.KeyVaultForLinux-1.0.1363.13/status# cat 1.status
[{"status":{"code":0,"formattedMessage":{"lang":"en","message":"Successfully started Key Vault extension service. 2021-03-03T23:12:23Z"},"operation":"Service start.","status":"success"},"timestampUTC":"2021-03-03T23:12:23Z","version":"1.0"}]root@74773db5fe1b42ab9a4b6cf679d929da000000:/var/lib/waagent/Microsoft.Azure.KeyVault.KeyVaultForLinux-1.0.1363.13/status#
A Key Vault bővítmény hibaelhárítása
Ha a Key Vault-bővítmény helytelenül van konfigurálva, a számítási csomópont használható állapotban lehet. A Key Vault bővítményhibáinak elhárításához ideiglenesen beállíthatja, hogy a RequireInitialSync hamis legyen, és helyezze újra üzembe a készletet, majd a számítási csomópont inaktív állapotban van, bejelentkezhet a számítási csomópontra, hogy ellenőrizze a KeyVault bővítménynaplóit a hibákért, és javítsa ki a konfigurációs problémákat. További információért látogasson el a Key Vault bővítményre vonatkozó dokumentum hivatkozására.
Következő lépések
- További információ az Azure-erőforrások felügyelt identitásairól.
- Megtudhatja, hogyan használhatja az ügyfél által felügyelt kulcsokat felhasználó által felügyelt identitásokkal.