ترحيل شهادات حساب Batch إلى Azure Key Vault

في 29 فبراير 2024، سيتم إيقاف ميزة شهادات حساب Azure Batch. تعرف على كيفية ترحيل شهاداتك على حسابات Azure Batch باستخدام Azure Key Vault في هذه المقالة.

حول الميزة

غالبا ما تكون الشهادات مطلوبة في سيناريوهات مختلفة مثل فك تشفير سر أو تأمين قنوات الاتصال أو الوصول إلى خدمة أخرى. حاليا، يقدم Azure Batch طريقتين لإدارة الشهادات على تجمعات الدفعات. يمكنك إضافة شهادات إلى حساب Batch أو يمكنك استخدام ملحق Azure Key Vault VM لإدارة الشهادات على تجمعات الدفعات. يتم إيقاف وظيفة الشهادة فقط على حساب Azure Batch والوظائف التي يمتدها إلى تجمعات الدفعات عبر CertificateReference إضافة تجمع وتجمع تصحيح وخصائص التحديث والمراجع المقابلة على واجهات برمجة تطبيقات Get و List Pool. بالإضافة إلى ذلك، بالنسبة لتجمعات Linux، لن يتم تعريف متغير $AZ_BATCH_CERTIFICATES_DIR البيئة وتعبئته.

انتهاء دعم الميزة

Azure Key Vault هو الآلية القياسية الموصى بها لتخزين الأسرار والشهادات والوصول إليها عبر Azure بشكل آمن. لذلك، في 29 فبراير 2024، سنتقاعد ميزة شهادات حساب Batch في Azure Batch. البديل هو استخدام ملحق Azure Key Vault VM وهوية مدارة معينة من قبل المستخدم على التجمع للوصول إلى الشهادات وتثبيتها بشكل آمن على تجمعات الدفعات الخاصة بك.

بعد إيقاف ميزة الشهادات في Azure Batch في 29 فبراير 2024، لن تعمل الشهادة في Batch كما هو متوقع. بعد ذلك التاريخ، لن تتمكن بعد ذلك من إضافة شهادات إلى حساب Batch أو ربط هذه الشهادات بتجمعات الدفعات. قد لا تتصرف التجمعات التي تستمر في استخدام هذه الميزة بعد هذا التاريخ كما هو متوقع مثل تحديث مراجع الشهادات أو القدرة على تثبيت مراجع الشهادات الموجودة.

بديل: استخدام ملحق Azure Key Vault VM مع الهوية المدارة المعينة من قبل المستخدم

Azure Key Vault هي خدمة Azure مدارة بالكامل توفر وصولا خاضعا للرقابة لتخزين البيانات السرية والشهادات والرموز المميزة والمفاتيح وإدارتها. يوفر Key Vault الأمان في طبقة النقل من خلال التأكد من تشفير أي تدفق بيانات من مخزن المفاتيح إلى تطبيق العميل. يمنحك Azure Key Vault طريقة آمنة لتخزين معلومات الوصول الأساسية وتعيين التحكم في الوصول الدقيق. يمكنك إدارة جميع الأسرار من لوحة معلومات واحدة. اختر تخزين مفتاح في وحدات أمان الأجهزة المحمية بالبرامج أو المحمية بالأجهزة (HSMs). يمكنك أيضا تعيين Key Vault على إعادة كتابة الشهادات تلقائيا.

للحصول على دليل كامل حول كيفية تمكين ملحق Azure Key Vault VM مع تجمع الهوية المدارة المعينة من قبل المستخدم، راجع تمكين التدوير التلقائي للشهادة في تجمع Batch.

الأسئلة المتداولة

• هل CloudServiceConfiguration تدعم التجمعات ملحق Azure Key Vault VM والهوية المدارة على التجمعات؟

  ‏‏لا. CloudServiceConfiguration سيتم إيقاف التجمعات في نفس تاريخ إيقاف شهادة حساب Azure Batch في 29 فبراير 2024. نوصي بالترحيل إلى VirtualMachineConfiguration التجمعات قبل ذلك التاريخ حيث يمكنك استخدام هذه الحلول.

• هل تدعم حسابات Batch لتخصيص تجمع اشتراك المستخدم Azure Key Vault؟

  نعم. يمكنك استخدام نفس Key Vault كما هو محدد مع حساب Batch الخاص بك للاستخدام مع مجموعاتك، ولكن قد يكون Key Vault المستخدم للشهادات لتجمعات الدفعات منفصلا تماما.

• هل يتم دعم كل من مجموعات Linux وWindows Batch مع ملحق Key Vault VM؟

  نعم. راجع وثائق Windows وLinux.

• هل يمكنك تحديث التجمعات الموجودة بملحق Key Vault VM؟

  لا، هذه الخصائص غير قابلة للتحديث على التجمع. تحتاج إلى إعادة إنشاء تجمعات.

• كيف أعمل الحصول على مراجع إلى الشهادات على مجموعات دفعات Linux حيث $AZ_BATCH_CERTIFICATES_DIR ستتم إزالتها؟

  يسمح لك ملحق Key Vault VM لنظام Linux بتحديد certificateStoreLocation، وهو مسار مطلق إلى مكان تخزين الشهادات. سيحدد ملحق Key Vault VM نطاق الشهادات المثبتة في الموقع المحدد مع امتيازات المستخدم الفائق (الجذر) فقط. تحتاج إلى التأكد من تشغيل مهامك بشكل غير مقيد للوصول إلى هذه الشهادات بشكل افتراضي، أو نسخ الشهادات إلى ملف يمكن الوصول إليه مباشرة و/أو ضبط ملفات الشهادات باستخدام أوضاع الملفات المناسبة. يمكنك تشغيل مثل هذه الأوامر كجزء من مهمة بدء مرتفعة أو مهمة إعداد مهمة.

• كيف أعمل تثبيت .cer ملفات لا تحتوي على مفاتيح خاصة؟

  لا يعتبر Key Vault أن هذه الملفات مميزة لأنها لا تحتوي على معلومات مفتاح خاصة. يمكنك تثبيت .cer الملفات باستخدام أي من الطرق التالية. استخدم أسرار Key Vault مع امتيازات الوصول المناسبة للهوية المدارة المرتبطة المعينة من قبل المستخدم وجلب .cer الملف كجزء من مهمة البدء لتثبيتها. بدلا من ذلك، قم بتخزين .cer الملف ك Azure Storage Blob ومرجع كملف مورد Batch في مهمة البدء لتثبيتها.

• كيف أعمل الوصول إلى الشهادات المثبتة لملحق Key Vault لهويات تجمع المستخدم التلقائي غير المسؤول على مستوى المهمة؟

  يتم إنشاء المستخدمون التلقائيون على مستوى المهمة عند الطلب ولا يمكن تعريفهم مسبقا لتحديدهم في الخاصية accounts في ملحق Key Vault VM. ستحتاج إلى عملية مخصصة تقوم بتصدير الشهادة المطلوبة إلى مخزن يمكن الوصول إليه بشكل شائع أو قوائم التحكم في الوصول بشكل مناسب للوصول من قبل المستخدمون التلقائيون على مستوى المهمة.

• أين يمكنني العثور على أفضل الممارسات لاستخدام Azure Key Vault؟

  راجع أفضل ممارسات Azure Key Vault.

الخطوات التالية

لمزيد من المعلومات، راجع التحكم في الوصول إلى شهادة Key Vault. لمزيد من المعلومات حول وظائف Batch المتعلقة بهذا الترحيل، راجع ملحقات Azure Batch Pool والهوية المدارة لتجمع Azure Batch.