Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Operator Nexus verwendet Geheimnisse und Zertifikate, um die Komponentensicherheit auf der gesamten Plattform zu verwalten. Die Operator Nexus-Plattform übernimmt die Drehung dieser Geheimnisse und Zertifikate. Standardmäßig speichert Operator Nexus die Anmeldeinformationen in einem verwalteten Schlüsseltresor. Um die rotierten Anmeldeinformationen in ihrer eigenen Key Vault-Instanz beizubehalten, muss der Benutzer seine eigene Key Vault-Instanz konfigurieren, um rotierte Anmeldeinformationen zu erhalten. Für diese Konfiguration muss der Benutzer Key Vault für die Azure Operator Nexus-Instanz konfigurieren. Nach der Erstellung muss der Benutzer dem Schlüsseltresor des Kunden eine Rollenzuweisung hinzufügen, damit die Operator Nexus Platform aktualisierte Anmeldeinformationen schreiben kann und zusätzlich den Schlüsseltresor des Kunden mit der Nexus Cluster-Ressource verknüpft.
Voraussetzungen
- Installieren Sie die aktuelle Version der passenden Azure CLI-Erweiterung
- Abrufen der Abonnement-ID für das Abonnement des Kunden
Hinweis
Ein einzelner Schlüsseltresor kann für eine beliebige Anzahl von Clustern verwendet werden.
Konfigurieren von Key Vault mithilfe einer verwalteten Identität für den Cluster
Hinweis
Die Funktionalität für eine verwaltete Identität für Key Vault und für eine verwaltete Clusteridentität besteht in der 2024-10-01-preview-API und wird mit der 2025-02-01-GA-API für die allgemeine Verfügbarkeit verfügbar sein.
Konfigurieren von Key Vault mithilfe einer verwalteten Identität für Cluster-Manager
Hinweis
Diese Methode ist mit der Einführung der 2025-02-01-GA-API veraltet. Ein Übergangszeitraum ist vorhanden, um die Migration zu unterstützen, aber vorhandene Benutzer sollten zur Verwendung der verwalteten Clusteridentität migrieren. Nachdem ein Cluster aktualisiert wurde, um die geheimen Archiveinstellungen und die verwaltete Clusteridentität zu verwenden, wird die verwaltete Identität des Cluster-Managers bei der Rotation von Anmeldeinformationen ignoriert.
Ab der 2024-07-01-API-Version werden verwaltete Identitäten im Cluster-Manager für den Schreibzugriff verwendet, um rotierte Anmeldeinformationen in einem Schlüsseltresor bereitzustellen. Die Cluster-Manager-Identität kann vom System oder vom Benutzer zugewiesenen sein und direkt über APIs oder über CLI verwaltet werden.
Informationen zum Zuweisen verwalteter Identitäten zum Cluster-Manager finden Sie unter Cluster-Manager-Identität.
Konfigurieren des Geheimnisarchivs für Nexus-Cluster
Registrieren Sie den Kundenschlüsseltresor als Geheimnisarchiv für den Nexus-Cluster. Die Ressourcen-ID des Schlüsseltresors muss im Cluster konfiguriert und aktiviert sein, um die Geheimnisse des Clusters zu speichern.
Beispiel:
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
Weitere Hilfe:
az networkcloud cluster update --secret-archive ?? --help
Abrufen der Prinzipal-ID für die verwaltete Cluster-Manager-Identität
Nachdem eine verwaltete Identität konfiguriert wurde, verwenden Sie die CLI, um die Identität und die zugehörigen Prinzipal-ID-Daten im Cluster-Manager anzuzeigen.
Beispiel:
az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>
Beispiel für systemseitig zugewiesene Identität:
"identity": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"type": "SystemAssigned"
},
Beispiel für benutzerseitig zugewiesene Identität:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
"clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
}
}
},
Unter Konfigurieren von Key Vault mithilfe einer verwalteten Identität für den Cluster erfahren Sie, wie Sie der Prinzipal-ID der verwalteten Identität die entsprechende Rolle zuweisen.