تكوين المفاتيح المدارة من قبل العميل لاختبار تحميل Azure باستخدام Azure Key Vault

يقوم Azure Load Testing تلقائيا بتشفير جميع البيانات المخزنة في مورد اختبار التحميل باستخدام المفاتيح التي توفرها Microsoft (المفاتيح المدارة بواسطة الخدمة). اختياريا، يمكنك إضافة طبقة ثانية من الأمان من خلال توفير المفاتيح الخاصة بك (التي يديرها العميل). توفر المفاتيح التي يديرها العميل مرونة أكبر للتحكم في الوصول واستخدام نهج تدوير المفاتيح.

يتم تخزين المفاتيح التي تقدمها بأمان باستخدام Azure Key Vault. يمكنك إنشاء مفتاح منفصل لكل مورد اختبار تحميل Azure تقوم بتمكينه باستخدام مفاتيح يديرها العميل.

عند استخدام مفاتيح التشفير المدارة من قبل العميل، تحتاج إلى تحديد هوية مدارة يعينها المستخدم لاسترداد المفاتيح من Azure Key Vault.

يستخدم Azure Load Testing المفتاح المدار من قبل العميل لتشفير البيانات التالية في مورد اختبار التحميل:

• اختبار البرنامج النصي وملفات التكوين
• الأسرار
• متغيرات البيئة

إشعار

لا يقوم Azure Load Testing بتشفير بيانات المقاييس لتشغيل اختبار باستخدام المفتاح المدار من قبل العميل، بما في ذلك أسماء عينات مقاييس JMeter التي تحددها في البرنامج النصي JMeter. لدى Microsoft حق الوصول إلى بيانات المقاييس هذه.

المتطلبات الأساسية

• حساب Azure مع اشتراك نشط. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

• هوية مدارة معينة من قبل المستخدم موجودة. لمزيد من المعلومات حول إنشاء هوية مدارة يعينها المستخدم، راجع إدارة الهويات المدارة المعينة من قبل المستخدم.

القيود

• تتوفر المفاتيح المدارة من قبل العميل فقط لموارد اختبار تحميل Azure الجديدة. يجب تكوين المفتاح أثناء إنشاء المورد.

• بمجرد تمكين تشفير المفتاح الذي يديره العميل على مورد، لا يمكن تعطيله.

• لا يمكن ل Azure Load Testing تدوير المفتاح المدار من قبل العميل تلقائيا لاستخدام أحدث إصدار من مفتاح التشفير. يجب تحديث مفتاح URI في المورد بعد تدوير المفتاح في Azure Key Vault.

تكوين مخزن مفاتيح Azure

لاستخدام مفاتيح التشفير التي يديرها العميل مع Azure Load Testing، تحتاج إلى تخزين المفتاح في Azure Key Vault. يمكنك استخدام مخزن مفاتيح موجود أو إنشاء مخزن جديد. قد يكون مورد اختبار التحميل وخزنة المفاتيح في مناطق أو اشتراكات مختلفة في نفس المستأجر.

تأكد من تكوين إعدادات خزنة المفاتيح التالية عند استخدام مفاتيح التشفير المدارة من قبل العميل.

تكوين إعدادات شبكة key vault

إذا قمت بتقييد الوصول إلى مخزن مفاتيح Azure الخاص بك بواسطة جدار حماية أو شبكة ظاهرية، فستحتاج إلى منح حق الوصول إلى اختبار تحميل Azure لاسترداد المفاتيح التي يديرها العميل. اتبع هذه الخطوات لمنح حق الوصول إلى خدمات Azure الموثوق بها.

تكوين الحماية من الحذف المبدئي والإزالة

يجب عليك تعيين خصائص Soft Delete و Purge Protection على مخزن المفاتيح الخاص بك لاستخدام المفاتيح المدارة من قبل العميل مع Azure Load Testing. يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد ولا يمكن تعطيله. يمكنك تمكين الحماية من التطهير في أي وقت. تعرف على المزيد حول الحماية من الحذف المبدئي والإزالة في Azure Key Vault.

مدخل Microsoft Azure

اتبع هذه الخطوات للتحقق مما إذا تم تمكين الحذف المبدئي وتمكينه على key vault. يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد.

يمكنك تمكين الحماية من المسح عند إنشاء مخزن مفاتيح جديد عن طريق تحديد إعدادات Enable purge protection .

لتمكين الحماية من الإزالة على مخزن مفاتيح موجود، اتبع الخطوات التالية:

1. انتقل إلى Key Vault في مدخل Azure.
2. ضمن الإعدادات، اختر خصائص.
3. في القسم الحماية من الإزالة، اختر تمكين الحماية من الإزالة.

PowerShell

لإنشاء مخزن مفاتيح جديد باستخدام PowerShell، قم بتثبيت الإصدار 2.0.0 أو إصدار أحدث من الوحدة Az.KeyVault PowerShell. بعدها قم باستدعاء New-AzKeyVault لإنشاء مخزن مفاتيح جديد. مع الإصدار 2.0.0 والإصدارات الأحدث من الوحدة Az.KeyVault، يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد.

ينشئ المثال التالي مخزن مفتاح جديداً مع تمكين كل من الحماية من الإزالة والحذف المبدئي. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

لتمكين الحماية من الإزالة على مخزن مفاتيح موجود باستخدام PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

لإنشاء مخزن مفاتيح جديد باستخدام Azure CLI، قم باستدعاء az keyvault create. يتم تمكين الحذف المبدئي بشكل افتراضي عند إنشاء مخزن مفاتيح جديد.

ينشئ المثال التالي مخزن مفتاح جديداً مع تمكين كل من الحماية من الإزالة والحذف المبدئي. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

لتمكين الحماية من المسح على مخزن مفاتيح موجود باستخدام Azure CLI:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

إضافة مفتاح مدار من قبل العميل إلى Azure Key Vault

بعد ذلك، أضف مفتاحاً إلى مخزن المفاتيح. يدعم تشفير اختبار تحميل Azure مفاتيح RSA. لمزيد من المعلومات حول أنواع المفاتيح المدعومة في Azure Key Vault، راجع حول المفاتيح.

مدخل Microsoft Azure

لمعرفة كيفية إضافة مفتاح باستخدام مدخل Microsoft Azure، راجع تعيين مفتاح واسترداده من Azure Key Vault باستخدام مدخل Microsoft Azure.

PowerShell

لإضافة مفتاح باستخدام PowerShell، قم باستدعاء Add-AzKeyVaultKey. تذكر استبدال قيم العناصر النائبة بين قوسين بقيمك الخاصة واستخدام المتغيرات المحددة في الأمثلة السابقة.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

لإضافة مفتاح باستخدام Azure CLI، قم باستدعاء az keyvault key create. تذكَّر استبدال قيم العناصر النائبة في الأقواس بقيمك.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

إضافة نهج وصول إلى مخزن المفاتيح الخاص بك

عند استخدام مفاتيح التشفير المدارة من قبل العميل، يجب عليك تحديد هوية مدارة يعينها المستخدم. يجب أن يكون للهوية المدارة المعينة من قبل المستخدم للوصول إلى المفاتيح المدارة من قبل العميل في Azure Key Vault الأذونات المناسبة للوصول إلى مخزن المفاتيح.

1. في مدخل Microsoft Azure، انتقل إلى مثيل Azure key vault الذي تخطط لاستخدامه لاستضافة مفاتيح التشفير الخاصة بك.

2. حدد Access Policies من القائمة اليسرى.

   

3. حدد + إضافة سياسة الوصول .

4. في القائمة المنسدلة Key permissions ، حدد Get و Unwrap Key و Wrap Key permissions.

   

5. في Select principal، حدد None selected.

6. ابحث عن الهوية المدارة المعينة من قبل المستخدم التي أنشأتها سابقا، وحددها من القائمة.

7. اختر تحديد في الأسفل.

8. حدد إضافة لإضافة نهج الوصول الجديد.

9. حدد Save على مثيل key vault لحفظ جميع التغييرات.

استخدام المفاتيح التي يديرها العميل مع Azure Load Testing

يمكنك فقط تكوين مفاتيح التشفير المدارة من قبل العميل عند إنشاء مورد اختبار تحميل Azure جديد. عند تحديد تفاصيل مفتاح التشفير، يجب عليك أيضا تحديد هوية مدارة يعينها المستخدم لاسترداد المفتاح من Azure Key Vault.

لتكوين المفاتيح المدارة من قبل العميل لمورد اختبار تحميل جديد، اتبع الخطوات التالية:

مدخل Microsoft Azure

1. اتبع هذه الخطوات لإنشاء مورد اختبار تحميل Azure في مدخل Microsoft Azure وملء الحقول في علامة التبويب الأساسيات .

2. انتقل إلى علامة التبويب تشفير ، ثم حدد المفاتيح المدارة بواسطة العميل (CMK) لحقل نوع التشفير.

3. في حقل Key URI ، الصق معرف URI/key لمفتاح Azure Key Vault بما في ذلك إصدار المفتاح.

4. بالنسبة إلى حقل الهوية المعينة من قبل المستخدم، حدد هوية مدارة حالية تم تعيينها من قبل المستخدم.

5. حدد Review + create للتحقق من صحة المورد الجديد وإنشاءه.

PowerShell

يمكنك نشر قالب ARM باستخدام PowerShell لأتمتة إنشاء موارد Azure. يمكنك إنشاء أي مورد من النوع Microsoft.LoadTestService/loadtests مع تمكين المفتاح المدار من قبل العميل للتشفير عن طريق إضافة الخصائص التالية:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

يظهر نموذج التعليمات البرمجية التالي قالب ARM لإنشاء مورد اختبار تحميل مع تمكين المفاتيح المدارة من قبل العميل:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

نشر القالب أعلاه إلى مجموعة موارد باستخدام New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

يمكنك نشر قالب ARM باستخدام Azure CLI لأتمتة إنشاء موارد Azure. يمكنك إنشاء أي مورد من النوع Microsoft.LoadTestService/loadtests مع تمكين المفتاح المدار من قبل العميل للتشفير عن طريق إضافة الخصائص التالية:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

يظهر نموذج التعليمات البرمجية التالي قالب ARM لإنشاء مورد اختبار تحميل مع تمكين المفاتيح المدارة من قبل العميل:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

نشر القالب أعلاه إلى مجموعة موارد باستخدام az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

تغيير الهوية المدارة لاسترداد مفتاح التشفير

يمكنك تغيير الهوية المدارة للمفاتيح التي يديرها العميل لمورد اختبار تحميل موجود في أي وقت.

1. في مدخل Microsoft Azure، انتقل إلى مورد اختبار تحميل Azure.

2. في صفحة الإعدادات، حدد تشفير.

   يعرض نوع التشفير نوع التشفير الذي تم استخدامه لإنشاء مورد اختبار التحميل.

3. إذا كان نوع التشفير هو مفاتيح يديرها العميل، فحدد نوع الهوية التي يجب استخدامها للمصادقة على مخزن المفاتيح. تتضمن الخيارات تعيين من قِبل النظام (الافتراضي) أو تعيين من قبل المستخدم.

   لمعرفة المزيد حول كل نوع من أنواع الهوية المدارة، راجع أنواع الهوية المدارة.

   • إذا قمت بتحديد تعيين النظام، يجب تمكين الهوية المدارة المعينة من قبل النظام على المورد ومنح حق الوصول إلى AKV قبل تغيير هوية المفاتيح التي يديرها العميل.
   • إذا قمت بتحديد تعيين من قبل المستخدم، يجب تحديد هوية حالية معينة من قبل المستخدم لديها أذونات للوصول إلى مخزن المفاتيح. لمعرفة كيفية إنشاء هوية معينة من قبل المستخدم، راجع استخدام الهويات المدارة لمعاينة اختبار تحميل Azure.

4. احفظ تغييراتك.

هام

تأكد من أن الهوية المدارة المحددة لديها حق الوصول إلى Azure Key Vault.

تحديث مفتاح التشفير المدار من قبل العميل

يمكنك تغيير المفتاح الذي تستخدمه لتشفير Azure Load Testing في أي وقت. لتغيير المفتاح باستخدام مدخل Azure، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى مورد اختبار تحميل Azure.

2. في صفحة الإعدادات، حدد تشفير. يعرض نوع التشفير التشفير المحدد للمورد أثناء الإنشاء.

3. إذا كان نوع التشفير المحدد هو مفاتيح يديرها العميل، يمكنك تحرير حقل Key URI باستخدام مفتاح URI الجديد.

4. احفظ تغييراتك.

تدوير مفاتيح التشفير

يمكنك تدوير مفتاح يديره العميل في Azure Key Vault وفقًا لسياسات الامتثال الخاصة بك. لتدوير مفتاح:

1. في Azure Key Vault، قم بتحديث إصدار المفتاح أو إنشاء مفتاح جديد.
2. تحديث مفتاح التشفير المدار من قبل العميل لمورد اختبار التحميل الخاص بك.

الأسئلة الشائعة

هل هناك رسوم إضافية لتمكين المفاتيح التي يديرها العميل؟

لا، لا توجد رسوم لتمكين هذه الميزة.

هل المفاتيح التي يديرها العميل مدعومة لموارد اختبار تحميل Azure الحالية؟

تتوفر هذه الميزة حاليا فقط لموارد اختبار تحميل Azure الجديدة.

كيف يمكنني معرفة ما إذا كانت المفاتيح التي يديرها العميل ممكنة على مورد اختبار تحميل Azure الخاص بي؟

1. في مدخل Microsoft Azure، انتقل إلى مورد اختبار تحميل Azure.
2. انتقل إلى عنصر التشفير في شريط التنقل الأيسر.
3. يمكنك التحقق من نوع التشفير على المورد الخاص بك.

كيف أبطل مفتاح التشفير؟

يمكنك إبطال مفتاح عن طريق تعطيل أحدث إصدار من المفتاح في Azure Key Vault. بدلا من ذلك، لإبطال جميع المفاتيح من مثيل مخزن المفاتيح، يمكنك حذف نهج الوصول الممنوح للهوية المدارة لمورد اختبار التحميل.

عند إبطال مفتاح التشفير، قد تتمكن من تشغيل الاختبارات لمدة 10 دقائق تقريبا، وبعد ذلك تكون العملية الوحيدة المتوفرة هي حذف الموارد. يوصى بتدوير المفتاح بدلا من إبطاله لإدارة أمان الموارد والاحتفاظ ببياناتك.

المحتوى ذو الصلة

• تعرف على كيفية مراقبة مقاييس التطبيق من جانب الخادم.
• تعرف على كيفية تحديد معلمات اختبار التحميل باستخدام البيانات السرية ومتغيرات البيئة.