Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
2024. február 29-én az Azure Batch-fiók tanúsítványainak szolgáltatása megszűnik. Ebből a cikkből megtudhatja, hogyan migrálhatja tanúsítványait Azure Batch-fiókokban az Azure Key Vault használatával.
Az adott funkcióról információk
A tanúsítványokra gyakran különböző helyzetekben van szükség, például titkos kulcsok visszafejtésére, kommunikációs csatornák védelmére vagy egy másik szolgáltatás elérésére. Az Azure Batch jelenleg kétféleképpen kezelheti a tanúsítványokat a Batch-készletekben. Tanúsítványokat adhat hozzá Egy Batch-fiókhoz, vagy használhatja az Azure Key Vault virtuálisgép-bővítményt a Batch-készletek tanúsítványainak kezeléséhez. Linux-készletek esetén a környezeti változó $AZ_BATCH_CERTIFICATES_DIR már nem lesz definiálva és feltöltve.
A szolgáltatás támogatásának megszűnése
Az Azure Key Vault egy szabványos, ajánlott mechanizmus a titkos kódok és tanúsítványok biztonságos tárolására és elérésére az Azure-ban. Ezért 2024. február 29-én megszüntetjük a Batch-fióktanúsítványok funkciót az Azure Batchben. A másik lehetőség az, hogy az Azure Key Vault virtuálisgép-bővítményt és egy felhasználó által hozzárendelt felügyelt identitást használ a készleten a tanúsítványok biztonságos eléréséhez és telepítéséhez a Batch-készleteken.
Miután az Azure Batch tanúsítványszolgáltatását 2024. február 29-én megszüntették, a Batch egyik tanúsítványa nem a várt módon fog működni. Ezen dátum után már nem tud tanúsítványokat hozzáadni egy Batch-fiókhoz, vagy ezeket a tanúsítványokat a Batch-készletekhez kapcsolni. Előfordulhat, hogy azok a tárolók, amelyek ezt a funkciót a dátum után is használják, nem a várt módon fognak viselkedni, amilyen például a tanúsítványhivatkozások frissítése vagy a meglévő tanúsítványhivatkozások telepítésének képessége.
Alternatív megoldás: Az Azure Key Vault VM-bővítmény használata a készlet felhasználó által hozzárendelt felügyelt identitásával
Az Azure Key Vault egy teljes mértékben felügyelt Azure-szolgáltatás, amely szabályozott hozzáférést biztosít a titkos kódok, tanúsítványok, jogkivonatok és kulcsok tárolásához és kezeléséhez. A Key Vault biztosítja a biztonságot az átviteli rétegen, és biztosítja, hogy a kulcstartóból az ügyfélalkalmazásba irányuló összes adatfolyam titkosítva legyen. Az Azure Key Vault biztonságos módot biztosít az alapvető hozzáférési információk tárolására és a részletes hozzáférés-vezérlés beállítására. Egyetlen irányítópulton kezelheti az összes titkos kódot. Válassza ki, hogy szoftveres vagy hardveres védelemmel ellátott hardveres biztonsági modulokban (HSM-ekben) tárolja a kulcsot. A Key Vaultot a tanúsítványok automatikus megújítására is beállíthatja.
Az Azure Key Vault virtuális gép bővítményének felhasználó által hozzárendelt felügyelt identitással történő engedélyezéséről a Batch-készlet automatikus tanúsítványforgatásának engedélyezése című témakörben olvashat bővebben.
GYIK
A
CloudServiceConfigurationkészletek támogatják az Azure Key Vault virtuális gép bővítményt és a felügyelt identitást a készletekben?Nem
CloudServiceConfigurationa készletek kivonása az Azure Batch-fiók tanúsítványának 2024. február 29-i kivonásával egyidőben történik. Azt javasoljuk, hogy a fenti dátum előtt migráljon aVirtualMachineConfiguration-készletekbe, ahol azokat a megoldásokat használhatja.Támogatják a felhasználói előfizetési készlet allokációs Batch-fiókok az Azure Key Vaultot?
Igen. Használhatja ugyanazt a Key Vaultot, amelyet a Batch-fiókjához megadott, mint amit a Batch-medencékhez használ, de a Batch-medencékhez használt tanúsítványok Key Vaultja teljesen különálló is lehet.
A Linux- és a Windows Batch-készletek is támogatottak a Key Vault virtuálisgép-bővítményével?
Frissítheti a meglévő készleteket Key Vault virtuálisgép-bővítménysel?
Nem, ezek a tulajdonságok nem frissíthetők a készleten. Újra létre kell hoznia a medencéket.
Hogyan szerezhetek hivatkozásokat a Linux Batch készletek tanúsítványaira, tekintettel arra, hogy a
$AZ_BATCH_CERTIFICATES_DIRel lesz távolítva?A Linuxhoz készült Key Vault virtuálisgép-bővítmény lehetővé teszi az abszolút elérési út megadását, ahol a tanúsítványok tárolva vannak. A Key Vault virtuálisgép-bővítmény a megadott helyen telepített tanúsítványok hatókörét csak a legfelső szintű jogosultságokkal fogja használni. Biztosítania kell, hogy a feladatok rendszergazdai jogosultsággal fussanak, hogy alapértelmezés szerint hozzáférjenek ezekhez a tanúsítványokhoz, vagy másolja a tanúsítványokat egy könnyen hozzáférhető helyre, és/vagy a tanúsítványfájlokat a megfelelő fájlmódok beállításával módosítsa. Az ilyen parancsokat egy emelt szintű kezdési vagy feladat-előkészítési feladat részeként futtathatja.
Hogyan telepíthetek
.cerfájlokat, amelyek nem tartalmaznak titkos kulcsokat?A Key Vault nem tekinti kiemeltnek ezeket a fájlokat, mivel nem tartalmaznak titkos kulcsadatokat. A fájlokat az alábbi módszerek egyikével telepítheti
.cer. Használja a Key Vault titkokat a társított Felhasználó által hozzárendelt menedzselt identitás megfelelő hozzáférési jogosultságaival, és szerezze be a fájlt az indítási feladat részeként a telepítéshez. Másik lehetőségként tárolja a.cerfájlt Azure Storage-blobként, és hivatkozzon Batch-erőforrásfájlként a telepítés megkezdéséhez.Hogyan férhetek hozzá a Key Vault bővítmény által telepített tanúsítványokhoz a feladatszintű, nem adminisztrátori automatikus felhasználói készlet-identitások esetén?
A feladatszintű autofelhasználók igény szerint jönnek létre, és nem határozhatók meg előre a
accountsKey Vault virtuálisgép-bővítmény tulajdonságába való beíráshoz. Szüksége lesz egy egyéni folyamatra, amely exportálja a szükséges tanúsítványt egy általánosan elérhető tárolóba vagy ACL-be a feladatszintű autofelhasználók általi hozzáféréshez.Hol találhatok ajánlott eljárásokat az Azure Key Vault használatához?
Tekintse meg az Azure Key Vault ajánlott eljárásait.
Következő lépések
További információ: Key Vault-tanúsítványhozzáférés-vezérlés. Az áttelepítéshez kapcsolódó Batch-funkciókkal kapcsolatos további információkért tekintse meg az Azure Batch Pool bővítményeit és az Azure Batch Pool felügyelt identitását.