Konfigurace spravovaných identit ve fondech Batch

Spravované identity pro prostředky Azure eliminují složitou správu identit a přihlašovacích údajů tím, že poskytují identitu pro prostředky Azure v Microsoft Entra ID (Azure AD ID). Tato identita se používá k získání tokenů Microsoft Entra pro autentizaci s cílovými prostředky v Azure.

Při přidávání spravované identity přiřazené uživatelem do fondu batch je důležité nastavit vlastnost Identity ve vaší konfiguraci. Tato vlastnost propojuje spravovanou identitu s fondem, což umožňuje bezpečný přístup k prostředkům Azure. Nesprávné nastavení vlastnosti Identity může vést k běžným chybám, jako jsou problémy s přístupem nebo chyby nahrávání.

Další informace o konfiguraci spravovaných identit ve službě Azure Batch najdete v dokumentaci ke spravovaným identitám služby Azure Batch.

Toto téma vysvětluje, jak povolit spravované identity přiřazené uživatelem ve fondech služby Batch a jak používat spravované identity v uzlech.

Důležité

Vytváření poolů se spravovanými identitami lze provádět pouze s použitím rozhraní API roviny správy služby Batch nebo sad SDK a ověřováním Entra. Fondy s řízenými identitami není možné vytvářet skrze rozhraní API služby Batch ani sady SDK. Další informace najdete v přehledové dokumentaci k rozhraním API a nástrojům služby Batch.

Vytvořte spravovanou identitu přiřazenou uživatelem

Nejprve vytvořte uživatelsky přiřazenou spravovanou identitu ve stejném klientovi jako váš účet Batch. Identitu můžete vytvořit pomocí webu Azure Portal, rozhraní příkazového řádku Azure (Azure CLI), PowerShellu, Azure Resource Manageru nebo rozhraní Azure REST API. Tato spravovaná identita nemusí být ve stejné skupině prostředků ani ve stejném předplatném.

Návod

Spravovanou identitu přiřazenou systémem vytvořenou pro účet Batch pro šifrování zákaznických dat nelze použít jako spravovanou identitu přiřazenou uživatelem ve fondu batch, jak je popsáno v tomto dokumentu. Pokud chcete použít stejnou spravovanou identitu v účtu Batch i ve fondu Batch, použijte místo toho společnou spravovanou identitu přiřazenou uživatelem.

Vytvoření fondu Batch se spravovanými identitami přiřazenými uživatelem

Po vytvoření jedné nebo více spravovaných identit přiřazených uživatelem můžete vytvořit fond Batch s danou identitou nebo těmito identitami. Můžete:

• Vytvoření fondu Batch pomocí webu Azure Portal
• Vytvoření fondu Batch pomocí knihovny pro správu Batch .NET

Upozornění

Místní aktualizace spravovaných identit fondu nejsou podporovány, pokud má fond aktivní uzly. Stávající výpočetní uzly se nebudou aktualizovat o změny. Před úpravou kolekce identit doporučujeme vertikálně snížit kapacitu fondu na nula výpočetních uzlů, aby se zajistilo, že všechny virtuální počítače mají přiřazenou stejnou sadu identit.

Vytvořte fond Batch v Azure portálu

Vytvoření fondu Batch se spravovanou identitou přiřazenou uživatelem prostřednictvím Azure Portalu:

1. Přihlaste se k portálu Azure.
2. Do vyhledávacího panelu zadejte a vyberte Batch účty.
3. Na stránce Účty Batch vyberte účet Batch, ve kterém chcete vytvořit fond Batch.
4. V nabídce účtu Batch v části Vlastnosti vyberte Fondy.
5. V nabídce Fondy vyberte Přidat a přidejte nový fond Batch.
6. Do pole ID fondu zadejte identifikátor vašeho fondu.
7. U Identity změňte nastavení na uživatelem přiřazené.
8. V části Spravovaná identita přiřazená uživatelem vyberte Přidat.
9. Vyberte spravovanou identitu nebo identity přiřazené uživatelem, které chcete použít. Pak vyberte Přidat.

Poznámka:

Najednou můžete přiřadit jenom jednu spravovanou identitu pro úroveň účtu autostorage i úroveň účtu Batch. Na úrovni bazénu ale máte flexibilitu používat více uživatelem přiřazených spravovaných identit.

1. V části Operační systém vyberte vydavatele, nabídku a skladovou položku, které chcete použít.
2. Volitelně povolte spravovanou identitu v registru kontejneru:
   1. V případě konfigurace kontejneru změňte nastavení na Vlastní. Pak vyberte vlastní konfiguraci.
   2. Pro zahájení úkolu vyberte Povoleno. Pak vyberte Soubory zdrojů a přidejte informace o kontejneru úložiště.
   3. Povolte nastavení kontejneru.
   4. Změňte registr kontejnerů na vlastní
   5. Jako referenční informace k identitě vyberte kontejner úložiště.

Vytvoření fondu Batch pomocí .NET

Pokud chcete vytvořit skupinu Batch s identitou spravovanou uživatelem pomocí knihovny pro správu Batch .NET, použijte následující ukázkový kód:

var credential = new DefaultAzureCredential();
ArmClient _armClient = new ArmClient(credential);
        
var batchAccountIdentifier = ResourceIdentifier.Parse("your-batch-account-resource-id");   
BatchAccountResource batchAccount = _armClient.GetBatchAccountResource(batchAccountIdentifier);

var poolName = "HelloWorldPool";
var imageReference = new BatchImageReference()
{
    Publisher = "canonical",
    Offer = "0001-com-ubuntu-server-jammy",
    Sku = "22_04-lts",
    Version = "latest"
};
string nodeAgentSku = "batch.node.ubuntu 22.04";

var batchAccountPoolData = new BatchAccountPoolData()
{
    VmSize = "Standard_DS1_v2",
    DeploymentConfiguration = new BatchDeploymentConfiguration()
    {
        VmConfiguration = new BatchVmConfiguration(imageReference, nodeAgentSku)
    },
    ScaleSettings = new BatchAccountPoolScaleSettings()
    {
        FixedScale = new BatchAccountFixedScaleSettings()
        {
            TargetDedicatedNodes = 1
        }
    }
};

ArmOperation<BatchAccountPoolResource> armOperation = batchAccount.GetBatchAccountPools().CreateOrUpdate(
    WaitUntil.Completed, poolName, batchAccountPoolData);
BatchAccountPoolResource pool = armOperation.Value;

Poznámka:

K zahrnutí vlastnosti Identity použijte následující ukázkový kód:

   var pool = batchClient.PoolOperations.CreatePool(
       poolId: "myPool",
       virtualMachineSize: "STANDARD_D2_V2",
       cloudServiceConfiguration: new CloudServiceConfiguration(osFamily: "4"),
       targetDedicatedNodes: 1,
       identity: new PoolIdentity(
           type: PoolIdentityType.UserAssigned,
           userAssignedIdentities: new Dictionary<string, UserAssignedIdentity>
           {
               { "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identity-name}", new UserAssignedIdentity() }
           }
       ));

Použití spravovaných identit přiřazených uživatelem v uzlech Batch

Mnoho funkcí Azure Batch, které přistupují k dalším prostředkům Azure přímo na výpočetních uzlech, jako je Azure Storage nebo Azure Container Registry, podporují spravované identity. Další informace o používání spravovaných identit se službou Azure Batch najdete na následujících odkazech:

• Soubory prostředků
• Výstupní soubory
• Azure Container Registry
• Souborový systém kontejneru objektů blob Azure

Úlohy můžete také nakonfigurovat ručně, aby spravované identity mohly přímo přistupovat k prostředkům Azure, které podporují spravované identity.

V uzlech Batch můžete získat tokeny spravované identity a použít je k ověření prostřednictvím ověřování Microsoft Entra prostřednictvím služby Azure Instance Metadata Service.

Skript PowerShellu pro získání přístupového tokenu k ověření ve Windows je následující:

$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}

Pro Linux je skript Bash následující:

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true

Další informace najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.

Další kroky

• Přečtěte si další informace o spravovaných identitách pro prostředky Azure.
• Naučte se používat klíče spravované zákazníkem s identitami spravovanými uživatelem.
• Zjistěte, jak povolit automatickou obměnu certifikátů v fondu Batch.