Podpora clusteru Azure Operator Nexus pro spravované identity a prostředky poskytnuté uživatelem

Aby se zlepšilo zabezpečení platformy Operator Nexus, podporují se teď spravované identity pro clustery Operator Nexus. Spravované identity poskytují bezpečný způsob přístupu aplikací k jiným prostředkům Azure a eliminují potřebu uživatelů spravovat přihlašovací údaje. Operátor Nexus má navíc model prostředků poskytovaný uživatelem. Kromě lepšího zabezpečení poskytuje tento posun konzistentní uživatelské prostředí na celé platformě.

Spravované identity se používají s následujícími uživatelskými prostředky poskytovanými v clusterech Operator Nexus:

• Účty úložiště používané pro výstup příkazů run-* pro holé počítače.
• Trezory klíčů používané k obměně přihlašovacích údajů.
• Pracovní prostory služby Log Analytics (LAW) používané k zaznamenání některých metrik

Další informace o spravovaných identitách v Azure najdete v tématu Spravované identity pro prostředky Azure. Clustery Nexus operátora podporují více spravovaných identit přiřazených uživatelem (UAMI) nebo jednu spravovanou identitu přiřazenou systémem (SAMI). Podporuje se také kombinace jednoho nebo více identifikátorů UAMI a SAMI.

I když se uživatel může rozhodnout použít některý typ spravované identity, doporučuje se rozhraní UAMI. Umožňují uživatelům předem nakonfigurovat prostředky s odpovídajícím přístupem k UAMI před vytvořením nebo aktualizací clusteru Nexus Operator. Stejnou UAMI je možné použít pro všechny prostředky nebo pokud uživatelé chtějí jemně odstupňovaný přístup, můžou pro každý prostředek definovat rozhraní UAMI.

Informace o použití rozhraní API k aktualizaci spravovaných identit clusteru najdete v tématu Aktualizace identit clusteru.

Požadavky

• Nainstalovat rozhraní příkazového řádku Azure CLI.
• Nainstalujte nejnovější verzi příslušných rozšíření Azure CLI.
• Podpora spravovaných identit účtu úložiště vyžaduje 2024-07-01 nebo novější verzi rozhraní NETWORKCloud API.
• Podpora spravovaných identit služby Key Vault a pracovního prostoru služby Log Analytics vyžaduje 2025-02-01 nebo novější verzi rozhraní NETWORKCloud API.

Clustery Nexus operátora s spravovanými identitami přiřazenými uživatelem (UAMI)

Osvědčeným postupem je nejprve definovat všechny prostředky poskytované uživatelem (účet úložiště, ZÁKON a Key Vault), spravované identity přidružené k těmto prostředkům a pak přiřadit spravovanou identitu odpovídajícímu přístupu k prostředku. Pokud se tyto kroky před vytvořením clusteru nedokončí, je potřeba provést kroky před nasazením clusteru.

Dopady nenafigurování těchto prostředků pro nový cluster jsou následující:

• Účet úložiště: Vytvoření clusteru selže, protože existuje kontrola, že commandOutputSettings na vstupu clusteru existuje.
• LAW: Nasazení clusteru selže, protože k instalaci softwarových rozšíření během nasazování je vyžadován pracovní prostor LAW (Pracovní prostor Log Analytics).
• Key Vault: Obměny přihlašovacích údajů selžou, protože existuje kontrola, jestli je před provedením obměny přihlašovacích údajů zajištěný přístup k zápisu k uživateli poskytnuté službě Key Vault.

Aktualizace clusteru je možné provést kdykoli. Změna nastavení LAW způsobí krátké přerušení při odesílání metrik zákonu jako rozšíření, která používají zákon, je třeba přeinstalovat.

Při používání rozhraní UAMI s clustery Nexus a přidruženými prostředky byste měli postupovat podle následujících kroků.

1. Vytvoření rozhraní UAMI nebo UAMI
2. Vytvoření prostředků a přiřazení UAMI k prostředkům
3. Vytvoření nebo aktualizace clusteru tak, aby používal spravované identity přiřazené uživatelem a prostředky poskytnuté uživatelem
4. Nasazení clusteru (pokud je nový)

Vytvoření rozhraní UAMI nebo UAMI

1. Vytvořte pro příslušné prostředky rozhraní UAMI nebo UAMI. Další informace o vytváření spravovaných identit najdete v tématu Správa spravovaných identit přiřazených uživatelem.

Vytvoření prostředků a přiřazení UAMI k prostředkům

Nastavení účtů úložiště UAMI

1. Vytvořte účet úložiště nebo identifikujte existující účet úložiště, který chcete použít. Viz Vytvoření účtu úložiště Azure.
2. V účtu úložiště vytvořte kontejner úložiště objektů blob. Viz Vytvoření kontejneru.
3. Storage Blob Data Contributor Přiřaďte roli uživatelům a UAMI, kteří potřebují přístup k výstupu příkazu run-*. Viz Přiřazení role Azure pro přístup k datům objektů blob.
4. Pokud chcete omezit přístup k účtu úložiště na výběrovou sadu IP adres nebo virtuálních sítí, přečtěte si téma Konfigurace bran firewall služby Azure Storage a virtuálních sítí.
   1. IP adresy pro všechny uživatele, kteří spouštějí příkazy run-*, je potřeba přidat do seznamu a/nebo Virtual Networks účtu úložištěFirewall.
   2. Ujistěte se, že Allow Azure services on the trusted services list to access this storage account. je vybraná pod Exceptions položkou.

Nastavení pracovních prostorů služby UAMI Log Analytics

1. Vytvořte pracovní prostor služby Log Analytics (LAW) nebo identifikujte existující zákon, který chcete použít. Viz Vytvoření pracovního prostoru služby Log Analytics.
2. Log Analytics Contributor Přiřaďte roli službě UAMI pro pracovní prostor služby Log Analytics. Viz Správa přístupu k pracovním prostorům služby Log Analytics.

Nastavení služby UAMI Key Vault

1. Vytvořte službu Key Vault nebo identifikujte existující službu Key Vault, kterou chcete použít. Viz Vytvoření služby Key Vault.
2. Povolení služby Key Vault pro řízení přístupu na základě role (RBAC). Viz Povolení oprávnění Azure RBAC ve službě Key Vault.
3. Operator Nexus Key Vault Writer Service Role (Preview) Přiřaďte roli službě UAMI pro službu Key Vault. Viz Přiřazení role.
   1. ID definice role pro operátor Nexus Key Vault Writer Service role je 44f0a1a8-6fea-4b35-980a-8ff50c487c97. Tento formát se vyžaduje, pokud k přiřazení role použijete příkazový řádek Azure.
4. Pokud chcete omezit přístup ke službě Key Vault na výběrovou sadu IP adres nebo virtuálních sítí, přečtěte si téma Konfigurace bran firewall a virtuálních sítí služby Azure Key Vault.
   1. IP adresy pro všechny uživatele vyžadující přístup ke službě Key Vault je potřeba přidat do seznamů a/nebo Virtual Networks seznamů služby Key VaultFirewall.
   2. Ujistěte se, že je vybraná pod Allow trusted Microsoft services to bypass this firewall. položkouExceptions.

Vytvoření nebo aktualizace clusteru Nexus tak, aby používal spravované identity přiřazené uživatelem a prostředky poskytnuté uživatelem

Definování UAMI (S) v clusteru

Při vytváření nebo aktualizaci clusteru pomocí spravované identity přiřazené uživatelem použijte --mi-user-assigned parametr spolu s identifikátorem prostředku Azure Resource Manageru (ARM) UAMI. Pokud chcete zadat více identifikátorů UAMI, uveďte identifikátory prostředků Azure Resource Manageru (ARM) UAMI s mezerou mezi nimi. Každý účet UAMI, který se používá pro key vault, LAW nebo účet úložiště, musí být uvedený v tomto seznamu.

Při vytváření clusteru zadáte UAMI --mi-user-assigned a také definujete nastavení prostředků. Aktualizace clusteru kvůli nastavení nebo změně UAMI by měla také zahrnovat změny v nastavení prostředků pro přidružení UAMI ke zdroji.

Nastavení účtu úložiště UAMI

Datový --command-output-settings konstruktor se používá k definování účtu úložiště, kde se zapisuje výstup příkazu spustit. Skládá se z následujících polí:

• container-url: Adresa URL kontejneru účtu úložiště, který má být používán zadanými identitami.
• identity-resource-id: ID prostředku spravované identity přiřazené uživatelem, které se má použít. Vzájemně se vylučují s typem identity přiřazeným systémem.
• identity-type: Typ vybrané spravované identity. Použijte UserAssignedIdentity.
• overrides: Volitelné. Pole objektů přepsání, které lze použít k přepsání kontejneru a identity účtu úložiště, které se mají použít pro konkrétní typy příkazů spuštění. Každý objekt přepsání se skládá z následujících polí:
  • command-output-type: Typ příkazu spustit, který se má přepsat.
  • container-url: Adresa URL kontejneru účtu úložiště, který se má použít pro zadaný typ příkazu.
  • identity-resource-id: ID prostředku spravované identity přiřazené uživatelem, které se má použít pro zadaný typ příkazu.
  • identity-type: Typ vybrané spravované identity. Použijte UserAssignedIdentity.

Platné command-output-type hodnoty jsou:

• BareMetalMachineRunCommand: Výstup z az networkcloud baremetalmachine run-command příkazu.
• BareMetalMachineRunDataExtracts: Výstup z az networkcloud baremetalmachine run-data-extract příkazu.
• BareMetalMachineRunDataExtractsRestricted: Výstup z az networkcloud baremetalmachine run-data-extracts-restricted příkazu.
• BareMetalMachineRunReadCommands: Výstup z az networkcloud baremetalmachine run-read-command příkazu.
• StorageRunReadCommands: Výstup z az networkcloud storageappliance run-read-command příkazu.

Výstup příkazu Spustit se zapíše do kontejneru účtu úložiště definovaného pro overrides konkrétní typ příkazu pomocí přidružené identity pro toto přepsání. Pokud se nenajde žádné odpovídající přepsání, použije se výchozí container-url nastavení a identity-resource-id z nastavení výstupu příkazu.

Nastavení pracovního prostoru služby UAMI Log Analytics

Datový --analytics-output-settings konstruktor se používá k definování zákona, kde se odesílají metriky. Skládá se z následujících polí:

• analytics-workspace-id: ID prostředku pracovního prostoru analýzy, který má být používán zadanou identitou.
• identity-resource-id: ID prostředku spravované identity přiřazené uživatelem, které se má použít. Vzájemně se vylučují s typem identity přiřazeným systémem
• identity-type: Typ vybrané spravované identity. Použijte UserAssignedIdentity.

Nastavení služby UAMI Key Vault

Datový --secret-archive-settings konstruktor se používá k definování služby Key Vault, kde se zapisují otočené přihlašovací údaje. Skládá se z následujících polí:

• identity-resource-id: ID prostředku spravované identity přiřazené uživatelem, které se má použít.
• identity-type: Typ vybrané spravované identity. Použijte UserAssignedIdentity.
• vault-uri: Identifikátor URI trezoru klíčů, který se používá jako archiv tajných kódů.

Příklady příkazů vytvoření clusteru UAMI

Příklad 1: Tento příklad je zkrácený příkaz Pro vytvoření clusteru, který používá jeden UAMI v rámci účtu úložiště, ZÁKONA a služby Key Vault.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
      container-url="https://myaccount.blob.core.windows.net/mycontainer" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI"

Příklad 2: Tento příklad je zkrácený příkaz Pro vytvoření clusteru, který používá dvě rozhraní UAMI. Účet úložiště a zákon používají první rozhraní UAMI a Key Vault sekundu.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
      container-url="https://myaccount.blob.core.windows.net/mycontainer" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI"

Příklady aktualizací clusteru

Aktualizace clusteru se provádí jedním krokem. Aktualizujte cluster tak, aby zahrnoval rozhraní UAMI v --mi-user-assigned poli a odpovídající --identity-resource-id účet úložiště, LAW nebo Key Vault.

Pokud se používá více rozhraní UAMI, musí se při aktualizaci zadat úplný seznam identifikátorů UAMI.--mi-user-assigned Pokud se v clusteru používá sami a přidáváte UAMI, musíte do příkazu update zahrnout --mi-system-assigned . Selhání zahrnutí existujících spravovaných identit způsobí jejich odebrání.

Pro LAW a Key Vault je možné přechod z existujících datových konstruktorů na nové konstrukty, které používají spravované identity, provádět prostřednictvím aktualizace clusteru.

Příklad 1: Přidejte do clusteru UAMI a přiřaďte rozhraní UAMI (myUAMI) k nastavení tajného archivu (Key Vault). Pokud má tento cluster definovaný sami, odebere se sami.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
   --secret-archive-settings identity-type="UserAssignedIdentity" \
     identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
     vault-uri="https://keyvaultname.vault.azure.net/"

Příklad 2: Přidejte UAMI mySecondUAMI do clusteru, který už má myFirstUAMI, který je zachován, a aktualizujte cluster tak, aby se přiřadil mySecondUAMI k nastavení výstupu příkazu (účet úložiště).

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
  --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer"

Příklad 3: Aktualizujte cluster, který už má SAMI, a přidejte UAMI a přiřaďte UAMI k nastavení výstupu log Analytics (LAW). SAMI se zachová.

Upozornění

Změna nastavení LAW způsobí krátké přerušení při odesílání metrik do zákona, protože rozšíření, která používají ZÁKON, může být potřeba přeinstalovat.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
   --mi-system-assigned \
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
     identity-type="UserAssignedIdentity" \
     identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI"

Zobrazení ID objektu zabezpečení pro spravovanou identitu přiřazenou uživatelem

ID prostředku identity najdete tak, že u prostředku identity vyberete zobrazení JSON. ID je v horní části zobrazeného panelu. Adresu URL kontejneru najdete na kartě Nastavení –> Vlastnosti prostředku kontejneru.

Azure CLI je další alternativou pro zobrazení identity a dat ID hlavního objektu v rámci clusteru.

Example:

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Výstup:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/subscriptionID/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Operátor clusterů Nexus s spravovanou identitou přiřazenou systémem

Použití Systémově přiřazené spravované identity (SAMI) funguje podle mírně odlišného vzoru než UAMIs. I když by měly být prostředky poskytnuté uživatelem (účet úložiště, LAW a Key Vault) zahrnuty do příkazu nebo šablony vytvoření clusteru, SAMI neexistuje, dokud se cluster nevytvoří. Po vytvoření clusteru se uživatelé musí dotazovat na cluster, aby získali SAMI. Každému prostředku přiřaďte správná oprávnění pro SAMI před nasazením clusteru.

U nového clusteru je potřeba tento postup dokončit před nasazením clusteru. Dopady nenafigurování těchto prostředků podle času nasazení pro nový cluster jsou následující:

• Účet úložiště: Vytvoření clusteru selže, protože existuje kontrola, že commandOutputSettings na vstupu clusteru existuje.
• ZÁKON: Nasazení clusteru selže, protože zákon je nutný k instalaci rozšíření softwaru během nasazení.
• Key Vault: Obměny přihlašovacích údajů selžou, protože existuje kontrola, jestli je před provedením obměny přihlašovacích údajů zajištěný přístup k zápisu k uživateli poskytnuté službě Key Vault.

Aktualizace clusteru je možné provést kdykoli. Změna nastavení LAW způsobí krátké přerušení při odesílání metrik zákonu jako rozšíření, která používají zákon, je třeba přeinstalovat.

Při používání rozhraní UAMI s clustery Nexus a přidruženými prostředky byste měli postupovat podle následujících kroků.

Vytvoření clusteru:

1. Vytvoření prostředků poskytnutých uživatelem
2. Vytvořte cluster pomocí SAMI a určete prostředky, které využívají SAMI
3. Získat SAMI dotazováním Clusteru
4. Aktualizovat prostředky a přiřadit SAMI k prostředkům
5. Nasazení clusteru

Aktualizace clusteru:

1. Vytvoření prostředků poskytnutých uživatelem
2. Přidejte SAMI prostřednictvím aktualizace clusteru
3. Získejte SAMI dotazováním clusteru
4. Aktualizovat prostředky a přiřadit SAMI k prostředkům
5. Aktualizace clusteru s informacemi o prostředcích poskytnutých uživatelem

Vytvoření počátečních prostředků zadaných uživatelem

Tato část obsahuje externí odkazy pro nastavení uživatelských prostředků, ke kterým musí dojít před vytvořením clusteru.

Počáteční nastavení účtů úložiště

1. Vytvořte účet úložiště nebo identifikujte existující účet úložiště, který chcete použít. Viz Vytvoření účtu úložiště Azure.
2. V účtu úložiště vytvořte kontejner úložiště objektů blob. Viz Vytvoření kontejneru.

Počáteční nastavení pracovních prostorů služby Log Analytics

• Vytvořte pracovní prostor služby Log Analytics (LAW) nebo identifikujte existující zákon, který chcete použít. Viz Vytvoření pracovního prostoru služby Log Analytics.

Počáteční nastavení služby Key Vault

• Vytvořte službu Key Vault nebo identifikujte existující službu Key Vault, kterou chcete použít. Viz Vytvoření služby Key Vault.

Vytvoření clusteru s SAMI a prostředky poskytovanými uživatelem

Při vytváření clusteru se spravovanou identitou přiřazenou systémem použijte --mi-system-assigned parametr. Proces vytváření clusteru vygeneruje informace o SAMI. Prostředky poskytnuté uživatelem jsou také definovány v době vytváření clusteru.

Nastavení účtu úložiště SAMI

Datový --command-output-settings konstruktor se používá k definování účtu úložiště, kde se zapisuje výstup příkazu spustit. Skládá se z následujících polí:

• container-url: Adresa URL kontejneru účtu úložiště, který má být používán zadanými identitami.
• identity-resource-id: Při použití sami se nevyžaduje.
• identity-type: Typ vybrané spravované identity. Použijte SystemAssignedIdentity.

Nastavení pracovního prostoru SAMI Log Analytics

Datový --analytics-output-settings konstruktor se používá k definování zákona, kde se odesílají metriky. Skládá se z následujících polí:

• analytics-workspace-id: ID prostředku pracovního prostoru analýzy, který má být používán zadanou identitou.
• identity-resource-id: Při použití sami se nevyžaduje.
• identity-type: Typ vybrané spravované identity. Použijte SystemAssignedIdentity.

Nastavení Key Vaultu SAMI

Datový --secret-archive-settings konstruktor se používá k definování služby Key Vault, kde se zapisují otočené přihlašovací údaje. Skládá se z následujících polí:

• identity-resource-id: Při použití sami se nevyžaduje.
• identity-type: Typ vybrané spravované identity. Použijte SystemAssignedIdentity.
• vault-uri: Identifikátor URI trezoru klíčů, který se používá jako archiv tajných kódů.

Příklad příkazu vytvoření clusteru SAMI

Příklad: Tento příklad je zkrácený příkaz Vytvoření clusteru, který určuje SAMI a používá SAMI pro každý z prostředků poskytovaných uživatelem.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

   --mi-system-assigned \
   --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer"
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \
   --secret-archive-settings identity-type="SystemAssignedIdentity" \
     vault-uri="https://keyvaultname.vault.azure.net/"

Přidání SAMI prostřednictvím aktualizace clusteru

Při aktualizaci clusteru pomocí spravované identity přiřazené systémem použijte --mi-system-assigned parametr. Proces aktualizace clusteru vygeneruje informace SAMI. Po provedení příslušných přiřazení rolí se prostředky poskytnuté uživatelem aktualizují, aby následně používaly SAMI.

Důležité

Při aktualizaci clusteru pomocí rozhraní UAMI nebo UAMI, které se používají, musíte při přidávání nebo aktualizaci sami zahrnout existující rozhraní UAMI do --mi-user-assigned seznamu identit. Pokud se v clusteru používá sami a přidáváte UAMI, musíte do příkazu update zahrnout --mi-system-assigned . Pokud to neuděláte, odeberou se příslušné spravované identity.

Tyto příklady slouží k aktualizaci existujícího clusteru přidáním SAMI.

Příklad 1: Tento příklad aktualizuje Cluster tak, aby přidal SAMI. Odeberou se všechny identifikátory UAMI definované v clusteru.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-system-assigned

Příklad 2: Tento příklad aktualizuje Cluster tak, aby přidal SAMI a ponechá existující UAMI myUAMI.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --mi-system-assigned

Získejte SAMI dotazováním clusteru

ID prostředku identity najdete tak, že na webu Azure Portal vyberete zobrazení JSON prostředku identity.

Rozhraní příkazového řádku se dá použít také k zobrazení identity a přidružených dat ID objektu zabezpečení v rámci clusteru.

principalId Poznamenejte si identitu, která se používá při udělování přístupu k prostředkům.

Příklad :

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Příklad identity přiřazené systémem:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Aktualizujte prostředky a přiřaďte SAMI k prostředkům.

Tyto aktualizace se aplikují po vytvoření nebo aktualizaci clusteru, aby bylo zajištěno, že SAMI má odpovídající přiřazení rolí a prostředky jsou správně nakonfigurované pro použití operátora Nexus.

Nastavení účtů úložiště SAMI

1. Storage Blob Data Contributor Přiřaďte roli uživatelům a sami, kteří potřebují přístup k výstupu příkazu run-*. Viz Přiřazení role Azure pro přístup k datům objektů blob.
2. Pokud chcete omezit přístup k účtu úložiště na výběrovou sadu IP adres nebo virtuálních sítí, přečtěte si téma Konfigurace bran firewall služby Azure Storage a virtuálních sítí.
   1. IP adresy pro všechny uživatele, kteří spouštějí příkazy run-*, je potřeba přidat do seznamu a/nebo Virtual Networks účtu úložištěFirewall.
   2. Ujistěte se, že Allow Azure services on the trusted services list to access this storage account. je vybraná pod Exceptions položkou.

Nastavení pracovních prostorů SAMI Log Analytics

• Log Analytics Contributor Přiřaďte roli sami pro pracovní prostor služby Log Analytics. Viz Správa přístupu k pracovním prostorům služby Log Analytics.

Nastavení SAMI Key Vaultu

1. Povolení služby Key Vault pro řízení přístupu na základě role (RBAC). Viz Povolení oprávnění Azure RBAC ve službě Key Vault.
2. Operator Nexus Key Vault Writer Service Role (Preview) Přiřaďte roli sami pro key Vault. Viz Přiřazení role.
   1. ID definice role pro operátor Nexus Key Vault Writer Service role je 44f0a1a8-6fea-4b35-980a-8ff50c487c97. Tento formát se vyžaduje, pokud k přiřazení role použijete příkazový řádek Azure.
3. Pokud chcete omezit přístup ke službě Key Vault na výběrovou sadu IP adres nebo virtuálních sítí, přečtěte si téma Konfigurace bran firewall a virtuálních sítí služby Azure Key Vault.
   1. IP adresy pro všechny uživatele vyžadující přístup ke službě Key Vault je potřeba přidat do seznamů a/nebo Virtual Networks seznamů služby Key VaultFirewall.
   2. Ujistěte se, že je vybraná pod Allow trusted Microsoft services to bypass this firewall. položkouExceptions.

Aktualizace clusteru s informacemi o prostředcích poskytnutých uživatelem

Tento krok je vyžadován pouze po aktualizaci clusteru pro přidání SAMI a měl by být proveden po aktualizaci prostředků, aby SAMI mohla být přiřazena příslušná role či role.

Nastavení aktualizace účtu úložiště SAMI

Datový --command-output-settings konstruktor se používá k definování účtu úložiště, kde se zapisuje výstup příkazu spustit. Skládá se z následujících polí:

• container-url: Adresa URL kontejneru účtu úložiště, který má být používán zadanými identitami.
• identity-resource-id: Při použití sami se nevyžaduje.
• identity-type: Typ vybrané spravované identity. Použijte SystemAssignedIdentity.

Nastavení aktualizace pracovního prostoru SAMI Log Analytics

Datový --analytics-output-settings konstruktor se používá k definování zákona, kde se odesílají metriky. Skládá se z následujících polí:

• analytics-workspace-id: ID prostředku pracovního prostoru analýzy, který má být používán zadanou identitou.
• identity-resource-id: Při použití sami se nevyžaduje.
• identity-type: Typ vybrané spravované identity. Použijte SystemAssignedIdentity.

Nastavení aktualizace SLUŽBY SAMI Key Vault

Datový --secret-archive-settings konstruktor se používá k definování služby Key Vault, kde se zapisují otočené přihlašovací údaje. Skládá se z následujících polí:

• identity-resource-id: Při použití sami se nevyžaduje.
• identity-type: Typ vybrané spravované identity. Použijte SystemAssignedIdentity.
• vault-uri: Identifikátor URI trezoru klíčů, který se používá jako archiv tajných kódů.

Příklady aktualizací clusteru SAMI

Aktualizace clusteru se řídí stejným vzorem jako vytvoření. Pokud potřebujete změnit UAMI pro prostředek, musíte ho zahrnout do --mi-user-assigned pole i odpovídající --identity-resource-id účtu úložiště, zákona nebo trezoru klíčů. Pokud se používá více rozhraní UAMI, musí se při aktualizaci zadat úplný seznam identifikátorů UAMI.--mi-user-assigned

Pro LAW a Key Vault je možné přechod z existujících datových konstruktorů na nové konstrukce, které používají UAMI, provádět prostřednictvím aktualizace clusteru.

Příklad 1: Přidání nebo aktualizace nastavení výstupu příkazu (účet úložiště) pro cluster

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer"

Příklad 2: Přidání nebo aktualizace nastavení výstupu Log Analytics (LAW) pro cluster

Upozornění

Změna nastavení LAW způsobí krátké přerušení při odesílání metrik zákonu jako rozšíření, která používají zákon, je třeba přeinstalovat.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \

Příklad 3: Přidání nebo aktualizace nastavení archivu tajných kódů (Key Vault) pro cluster

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --secret-archive-settings identity-type="SystemAssignedIdentity" \
     vault-uri="https://keyvaultname.vault.azure.net/"

Příklad 4: Tento příklad kombinuje všechny tři prostředky pomocí sami do jedné aktualizace.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --command-output-settings identity-type="SystemAssignedIdentity" \
     container-url="https://myaccount.blob.core.windows.net/mycontainer"
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
     identity-type="SystemAssignedIdentity" \
   --secret-archive-settings identity-type="SystemAssignedIdentity" \
     vault-uri="https://keyvaultname.vault.azure.net/"

Aktualizace identit clusteru prostřednictvím rozhraní API

Spravované identity clusteru je možné přiřadit prostřednictvím rozhraní příkazového řádku. Zrušení přiřazení identit je možné provést prostřednictvím volání rozhraní API. Všimněte si, <APIVersion> že rozhraní API verze 2024-07-01 nebo novější.

• Pokud chcete odebrat všechny spravované identity, spusťte:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body "{\"identity\":{\"type\":\"None\"}}"
  

• Pokud byly přidány spravované identity přiřazené uživatelem i systémem, můžete přiřazení uživatele odebrat aktualizací na typeSystemAssigned:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Příklad textu požadavku (uai-body.json):

  {
    "identity": {
        "type": "SystemAssigned"
    }
  }
  

• Pokud byly přidány spravované identity přiřazené uživatelem i systémem, můžete přiřazení systému odebrat aktualizací na typeUserAssigned:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Příklad textu požadavku (uai-body.json):

  {
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": {}
        }
    }
  }
  

• Pokud bylo přidáno více spravovaných identit přiřazených uživatelem, můžete jednu z nich odebrat provedením tohoto příkazu:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Příklad textu požadavku (uai-body.json):

  {
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": null
        }
    }
  }
  

Zrušení a nahrazení polí

Tato část je odkazem na zastaralá pole prostředků a jejich náhrady. Všechna pole se nacházejí v prostředku clusteru s výjimkou spravované identity manažera clusteru, která se používá pro zastaralou metodu Key Vault. Tento seznam také předpokládá, že přidružená spravovaná identita je definovaná v clusteru, který odpovídá spravované identitě prostředku.

identity-resource-id se vyžaduje pouze při použití UAMI. Nemělo by být zadáno, pokud používáte SAMI pro prostředek.

Přehled clusteru

Přehled clusteru na webu Azure Portal odráží nová datová pole.

1. Oddíl Vlastnosti přehledu obsahuje zobrazení jen pro čtení pro Log analytics, Secret archive (Key Vault) a Storage account.
   1. Výběrem edit vedle každého prostředku přejdete na stránku konkrétního prostředku v rámci operátora Nexus a umožníte aktualizovat informace o prostředku a spravované identitě.
2. Navigační Settings nabídka obsahuje odkazy pro správu jednotlivých prostředků.

Poznámka:

Příklad Secret Archive odráží instanci, ve které se cluster aktualizoval tak, aby secretArchiveSettings se naplnil identifikátorem URI služby Key Vault a přidruženou spravovanou identitou, ale starší secretArchive pole zůstanou vyplněná. Přehled odráží obě pole z pohledu zobrazení, systém však využívá pouze secretArchiveSettings. Pokud je vyplněno pouze secretArchiveSettings, pak bude vyplněno pouze Key Vault URI. Pole Key Vault by bylo prázdné.

Pracovní prostor služby Log Analytics

Zastaralé sloupce:analytics-workspace-id

Azure CLI

Informace o zákonu jsou poskytovány a zobrazeny prostřednictvím datového konstruktoru analytics-output-settings .

Nahrazení polí:

analytics-output-settings:
  analytics-workspace-id
  identity-type
  identity-resource-id

Azure Portal

Na webu Azure Portal se informace LAW dají zobrazit a upravit na Log analytics stránce v nastavení clusteru.

Vstupní formát (LAW Azure Resource Manager (ARM) ID prostředku) je stejný mezi zastaralým analytics-workspace-id polem analytics-workspace-id a uvnitř analytics-output-settings. Systém aktualizuje zastaralé analytics-workspace-id pole s polem analytics-output-settings:analytics-workspace-id . Aktualizace zastaralých komponent byla provedena pro účely zpětné kompatibility během přechodného období při přechodu od použití hlavní služby na spravovanou identitu ověřování. Už nemá žádné použití, ale je stále k dispozici.

Key Vault

Zastaralé pole:

cluster-secret-archive:
  use-key-vault
  key-vault-id

Spravovaná identita Správce clusteru se používá k ověřování.

Nahrazení polí:

Azure CLI

Informace o službě Key Vault se poskytují a zobrazují prostřednictvím datového konstruktoru secret-archive-settings . V tomto konstruktoru se používá spravovaná identita clusteru.

secret-archive-settings:
  vault-uri
  identity-type
  identity-resource-id

Azure Portal

Na webu Azure Portal je možné informace o službě Key Vault zobrazit a upravit na Secret archive stránce v nastavení clusteru.

vault-uri in secret-archive-settings je identifikátor URI pro zadanou službu Key Vault a ID prostředku Azure Resource Manageru (ARM), které je zadané pro key-vault-id. Stejnou spravovanou identitu, kterou jste zadali pro Správce clusteru, je možné použít v clusteru.

Účet úložiště

Zastaralá pole: Není k dispozici – Dříve se účet úložiště automaticky vytvořil jako součást vytváření Správce clusteru a nevyžadoval vstup zákazníka.

Nahrazení polí:

Azure CLI

Informace o účtu úložiště se poskytují a zobrazují prostřednictvím datového konstruktoru command-output-settings .

command-output-settings:
  container-url
  identity-type
  identity-resource-id

Azure Portal

Na webu Azure Portal je možné informace o účtu úložiště zobrazit a upravit na Storage account stránce v nastavení clusteru.