Batch hesabı sertifikalarını Azure Key Vault'a geçirme

29 Şubat 2024'te Azure Batch hesap sertifikaları özelliği kullanımdan kaldırılacaktır. Bu makalede Azure Key Vault kullanarak Azure Batch hesaplarında sertifikalarınızı geçirmeyi öğrenin.

Özellik hakkında

Sertifikalar genellikle gizli dizinin şifresini çözme, iletişim kanallarının güvenliğini sağlama veya başka bir hizmete erişme gibi çeşitli senaryolarda gereklidir. Şu anda Azure Batch, Batch havuzlarında sertifikaları yönetmek için iki yol sunmaktadır. Batch hesabına sertifika ekleyebilir veya Batch havuzlarında sertifikaları yönetmek için Azure Key Vault VM uzantısını kullanabilirsiniz. Yalnızca Azure Batch hesabındaki sertifika işlevselliği ve Havuz Ekle, Düzeltme Eki Havuzu, Güncelleştirme Özellikleri aracılığıyla Batch havuzlarına CertificateReference genişleten işlevsellik ve Alma ve Listeleme Havuzu API'lerindeki ilgili başvurular kullanımdan kaldırılıyor. Ayrıca, Linux havuzları için ortam değişkeni $AZ_BATCH_CERTIFICATES_DIR artık tanımlanıp doldurulmayacak.

Destek sonu özelliği

Azure Key Vault , Azure genelinde gizli dizileri ve sertifikaları güvenli bir şekilde depolamak ve bunlara erişmek için önerilen standart mekanizmadır. Bu nedenle, 29 Şubat 2024'te Azure Batch'te Batch hesabı sertifikaları özelliğini devre dışı bırakacağız. Bunun alternatifi, Batch havuzlarınıza güvenli bir şekilde erişmek ve sertifika yüklemek için Azure Key Vault VM Uzantısı'nı ve havuzda kullanıcı tarafından atanan yönetilen kimliği kullanmaktır.

Azure Batch'teki sertifikalar özelliği 29 Şubat 2024'te kullanımdan kaldırıldıktan sonra Batch'teki bir sertifika beklendiği gibi çalışmaz. Bu tarihten sonra, bir Batch hesabına sertifika ekleyemez veya bu sertifikaları Batch havuzlarına bağlayamazsınız. Bu tarihten sonra bu özelliği kullanmaya devam eden havuzlar, sertifika başvurularını güncelleştirme veya mevcut sertifika başvurularını yükleme gibi beklendiği gibi davranamayabilir.

Alternatif: Havuz kullanıcı tarafından atanan yönetilen kimlikle Azure Key Vault VM uzantısını kullanma

Azure Key Vault, gizli dizileri, sertifikaları, belirteçleri ve anahtarları depolamak ve yönetmek için denetimli erişim sağlayan tam olarak yönetilen bir Azure hizmetidir. Key Vault, anahtar kasasından istemci uygulamasına veri akışının şifrelenmesini sağlayarak aktarım katmanında güvenlik sağlar. Azure Key Vault, temel erişim bilgilerini depolamak ve ayrıntılı erişim denetimi ayarlamak için güvenli bir yol sağlar. Tüm gizli dizileri tek bir panodan yönetebilirsiniz. Anahtarı yazılım korumalı veya donanım korumalı donanım güvenlik modüllerinde (HSM) depolamayı seçin. Key Vault'un sertifikaları otomatik olarak yenilesini de ayarlayabilirsiniz.

Havuz Kullanıcı Tarafından Atanan Yönetilen Kimlik ile Azure Key Vault VM Uzantısını etkinleştirme hakkında eksiksiz bir kılavuz için bkz . Batch havuzunda otomatik sertifika döndürmeyi etkinleştirme.

SSS

• Havuzlar, havuzlarda Azure Key Vault VM uzantısını ve yönetilen kimliği destekliyor mu CloudServiceConfiguration ?

  Hayır CloudServiceConfigurationhavuzları, 29 Şubat 2024'te Azure Batch hesabı sertifikasının kullanımdan kaldırılmasıyla aynı tarihte kullanımdan kaldırılacaktır. Bu çözümleri kullanabileceğiniz bu tarihten önce havuzlara geçiş VirtualMachineConfiguration yapmanızı öneririz.

• Kullanıcı abonelik havuzu ayırma Batch hesapları Azure Key Vault'a destek oluyor mu?

  Evet. Batch hesabınızda belirtilen Key Vault'un aynısını havuzlarınızla birlikte kullanmak üzere kullanabilirsiniz, ancak Batch havuzlarınız için sertifikalar için kullanılan Key Vault'unuz tamamen ayrı olabilir.

• Hem Linux hem de Windows Batch havuzları Key Vault VM uzantısıyla destekleniyor mu?

  Evet. Windows ve Linux belgelerine bakın.

• Mevcut havuzları bir Key Vault VM uzantısıyla güncelleştirebilir misiniz?

  Hayır, bu özellikler havuzda güncelleştirilemez. Havuzları yeniden oluşturmanız gerekir.

• Kaldırılacağından Linux Batch Havuzları'nda $AZ_BATCH_CERTIFICATES_DIR sertifikalara başvurular Nasıl yaparım? alınıyor?

  Linux için Key Vault VM uzantısı, sertifikanın certificateStoreLocationdepolandığı mutlak yol olan öğesini belirtmenize olanak tanır. Key Vault VM uzantısı, belirtilen konuma yüklenen sertifikaları yalnızca süper kullanıcı (kök) ayrıcalıklarıyla kapsamlandıracaktır. Görevlerinizin varsayılan olarak bu sertifikalara erişmek için yükseltilmiş olarak çalıştırıldığından emin olmanız veya sertifikaları doğrudan erişilebilir bir dosyaya kopyalamanız ve/veya uygun dosya modlarıyla sertifika dosyalarını ayarlamanız gerekir. Bu tür komutları yükseltilmiş bir başlangıç görevinin veya iş hazırlık görevinin parçası olarak çalıştırabilirsiniz.

• Özel anahtar içermeyen dosyaları Nasıl yaparım? yükleyemiyorum.cer?

  Key Vault, özel anahtar bilgileri içermediğinden bu dosyaların ayrıcalıklı olduğunu düşünmez. Dosyaları aşağıdaki yöntemlerden birini kullanarak yükleyebilirsiniz .cer . Key Vault gizli dizilerini ilişkili Kullanıcı Tarafından Atanan Yönetilen Kimlik için uygun erişim ayrıcalıklarıyla kullanın ve yüklenecek başlangıç görevinizin bir parçası olarak dosyayı getirin .cer . Alternatif olarak, dosyayı bir Azure Depolama Blobu olarak depolayın .cer ve yüklenecek başlangıç görevinizde Batch kaynak dosyası olarak başvuruyu kullanın.

• Görev düzeyi yönetici olmayan otomatik kullanıcı havuzu kimlikleri için Key Vault uzantısının yüklü sertifikalarına Nasıl yaparım? erişin?

  Görev düzeyinde otomatik kullanıcılar isteğe bağlı olarak oluşturulur ve Key Vault VM uzantısındaki accounts özelliği belirtmek için önceden tanımlanmış olamaz. Gerekli sertifikayı, görev düzeyinde otomatik kullanıcı erişimi için uygun bir şekilde erişilebilir bir depoya veya ACL'lere aktaran özel bir işleme ihtiyacınız olacaktır.

• Azure Key Vault'u kullanmaya yönelik en iyi yöntemleri nerede bulabilirim?

  Bkz. Azure Key Vault en iyi yöntemleri.

Sonraki adımlar

Daha fazla bilgi için bkz . Key Vault sertifika erişim denetimi. Bu geçişle ilgili Batch işlevleri hakkında daha fazla bilgi için bkz . Azure Batch Havuzu uzantıları ve Azure Batch Havuzu Yönetilen Kimliği.