Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
29. února 2024 bude funkce certifikátů účtů Azure Batch vyřazena. V tomto článku se dozvíte, jak migrovat certifikáty v účtech Azure Batch pomocí služby Azure Key Vault.
Informace o této funkci
Certifikáty se často vyžadují v různých scénářích, jako je dešifrování tajného klíče, zabezpečení komunikačních kanálů nebo přístup k jiné službě. Azure Batch v současné době nabízí dva způsoby správy certifikátů ve fondech Batch. Certifikáty můžete přidat do účtu Batch nebo můžete použít rozšíření virtuálního počítače služby Azure Key Vault ke správě certifikátů ve fondech Batch. Vyřadí se jenom certifikační funkce v účtu Azure Batch a funkce, které rozšiřuje do fondů Batch, a to prostřednictvím Přidat fond, Opravit fond, Aktualizovat vlastnosti a odpovídajících odkazů na API pro získání a seznam fondů. Kromě toho pro fondy Linuxu už nebude proměnná $AZ_BATCH_CERTIFICATES_DIR prostředí definována a naplněna.
Konec podpory funkce
Azure Key Vault je standardní a doporučený mechanismus pro bezpečné ukládání tajných kódů a certifikátů v Azure. Proto 29. února 2024 vyřadíme funkci certifikátů účtu Batch ve službě Azure Batch. Alternativou je použití rozšíření Azure Key Vault VM a uživatelsky přiřazené spravované identity ve fondu k bezpečnému přístupu a instalaci certifikátů na fondech Batch.
Po vyřazení funkce certifikátů ve službě Azure Batch 29. února 2024 nebude certifikát ve službě Batch fungovat podle očekávání. Po tomto datu už nebudete moct přidávat certifikáty do účtu Batch ani tyto certifikáty propojit s fondy batch. Fondy, které tuto funkci po tomto datu nadále používají, se nemusí chovat podle očekávání, například aktualizace odkazů na certifikát nebo možnost instalovat existující odkazy na certifikáty.
Alternativa: Použití rozšíření VM Azure Key Vault se spravovanou identitou přiřazenou uživatelem ve fondu
Azure Key Vault je plně spravovaná služba Azure, která poskytuje řízený přístup k ukládání a správě tajných kódů, certifikátů, tokenů a klíčů. Key Vault poskytuje zabezpečení v přenosové vrstvě tím, že zajišťuje šifrování všech toků dat z trezoru klíčů do klientské aplikace. Azure Key Vault poskytuje bezpečný způsob, jak ukládat základní informace o přístupu a nastavit jemně odstupňované řízení přístupu. Všechny tajné kódy můžete spravovat z jednoho řídicího panelu. Vyberte, zda chcete klíč uložit do hardwarových bezpečnostních modulů (HSM) chráněných softwarem nebo hardwarem. Službu Key Vault můžete také nastavit na automatické obnovení certifikátů.
Kompletní průvodce, jak povolit rozšíření virtuálního počítače Azure Key Vault s uživatelem přiřazenou spravovanou identitou pro pool, najdete v tématu Povolení automatické obměny certifikátů ve fondu Batch.
Nejčastější dotazy
Podporují
CloudServiceConfigurationfondy rozšíření virtuálního počítače azure Key Vault a spravovanou identitu ve fondech?Ne.
CloudServiceConfigurationfondy budou vyřazeny ze stejného data jako vyřazení certifikátu účtu Azure Batch 29. února 2024. Doporučujeme migrovat doVirtualMachineConfigurationfondů před tímto datem, kdy budete moct tato řešení používat.Podporují účty Batch službu Azure Key Vault v rámci přidělování fondů předplatného uživatele?
Ano. Můžete použít stejnou službu Key Vault, jakou jste zadali s účtem Batch jako pro použití s fondy, ale služba Key Vault používaná pro certifikáty pro fondy Batch může být zcela oddělená.
Podporují se fondy systému Linux a Batch systému Windows s rozšířením virtuálních počítačů služby Key Vault?
Můžete aktualizovat existující skupiny pomocí rozšíření VM služby Key Vault?
Ne, tyto vlastnosti nelze aktualizovat v rámci fondu. Musíte znovu vytvořit pooly.
Jak získám odkazy na certifikáty ve fondech batch pro Linux, protože
$AZ_BATCH_CERTIFICATES_DIRse odeberou?Rozšíření virtuálního počítače služby Key Vault pro Linux umožňuje zadat
certificateStoreLocation, což je absolutní cesta, kde jsou certifikáty uložené. Rozšíření virtuálního počítače služby Key Vault omezí certifikáty nainstalované v zadaném umístění pouze na přístup s administrátorskými oprávněními (root). Potřebujete zajistit, aby vaše úlohy byly spuštěny s vyššími oprávněními pro přístup k těmto certifikátům ve výchozím nastavení, nebo zkopírujte certifikáty do přístupného adresáře a/nebo upravte soubory certifikátů se správnými režimy souborů. Takové příkazy můžete spustit jako součást úkolu zahájení s vyššími oprávněními nebo úkolu přípravy.Jak nainstaluji
.cersoubory, které neobsahují privátní klíče?Key Vault tyto soubory nepovažuje za privilegované, protože neobsahují informace o privátním klíči. Soubory
.cermůžete nainstalovat pomocí jedné z následujících metod. Použijte tajemství Key Vault s příslušnými přístupovými oprávněními pro přidruženou spravovanou identitu přiřazenou uživatelem a načtěte soubor.cerjako součást úlohy spuštění k instalaci. Případně soubor uložte.cerjako objekt Blob služby Azure Storage a odkazujte na něj jako soubor prostředků Batch ve spouštěcí úloze, aby byl nainstalován.Jak získám přístup k certifikátům nainstalovaným prostřednictvím rozšíření Key Vault pro identity automatických uživatelů v uživatelském fondu na úrovni úlohy bez oprávnění správce?
Autousers na úrovni úkolů jsou vytvářeni na vyžádání a nelze je předem definovat pro zadání do vlastnosti
accountsv rozšíření služby Key Vault pro virtuální počítače. Budete potřebovat vlastní proces, který exportuje požadovaný certifikát do běžně přístupného úložiště nebo seznamů ACL odpovídajícím způsobem pro přístup automatickým uživatelům na úrovni úloh.Kde najdu osvědčené postupy pro používání služby Azure Key Vault?
Prohlédněte si osvědčené postupy pro Azure Key Vault.
Další kroky
Další informace najdete v tématu Řízení přístupu k certifikátům služby Key Vault. Další informace o funkcích služby Batch souvisejících s touto migrací najdete v tématu Rozšíření fondu Azure Batch a spravovaná identita fondu Azure Batch.