Felügyelt identitások konfigurálása a Batch-készletekben

Az Azure-erőforrások felügyelt identitásai kiküszöbölik a bonyolult identitás- és hitelesítő adatok kezelését azáltal, hogy identitást biztosítanak az Azure-erőforráshoz a Microsoft Entra ID-ban (Azure AD-azonosító). Ez az identitás a Microsoft Entra tokenek lekérésére szolgál a célerőforrásokkal való hitelesítéshez az Azure-ban.

Ha felhasználó által hozzárendelt felügyelt identitást ad hozzá egy Batch-készlethez, fontos, hogy a konfigurációban állítsa be az Identitás tulajdonságot. Ez a tulajdonság összekapcsolja a felügyelt identitást a készlethez, így biztonságosan elérheti az Azure-erőforrásokat. Az Identitás tulajdonság helytelen beállítása gyakori hibákat, például hozzáférési problémákat vagy feltöltési hibákat eredményezhet.

A felügyelt identitások Azure Batchben való konfigurálásával kapcsolatos további információkért tekintse meg az Azure Batch managed Identityes dokumentációját.

Ez a témakör bemutatja, hogyan engedélyezheti a felhasználó által hozzárendelt felügyelt identitásokat a Batch-készletekben, és hogyan használhat felügyelt identitásokat a csomópontokon belül.

Fontos

Felügyelt identitásokkal rendelkező készletek létrehozása csak a Batch Management Plane API-kkal vagy az Entra-hitelesítést használó SDK-kkal végezhető el. A Batch Service API-k vagy SDK-k használatával nem hozhatók létre felügyelt identitásokkal rendelkező készletek. További információkért tekintse meg a Batch API-k és -eszközök áttekintési dokumentációját.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Először hozzon létre egy felhasználó által hozzárendelt felügyelt identitást ugyanabban a bérlői környezetben, mint a Batch-fiók. Az identitást az Azure Portal, az Azure Parancssori felület (Azure CLI), a PowerShell, az Azure Resource Manager vagy az Azure REST API használatával hozhatja létre. Ennek a felügyelt identitásnak nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.

Tipp.

A Batch-fiókhoz az ügyféladatok titkosításához létrehozott rendszer által hozzárendelt felügyelt identitás nem használható felhasználó által hozzárendelt felügyelt identitásként egy Batch-készleten, a jelen dokumentumban leírtak szerint. Ha ugyanazt a felügyelt identitást szeretné használni a Batch-fiókon és a Batch-készleten is, akkor használjon inkább egy közös, felhasználó által hozzárendelt felügyelt identitást.

Batch pool létrehozása felhasználó által hozzárendelt felügyelt identitásokkal

Miután létrehozott egy vagy több felhasználó által hozzárendelt felügyelt identitást, létrehozhat egy Batch-készletet az identitással vagy ezekkel az identitásokkal. A következőket teheti:

• A Batch-készlet létrehozása az Azure Portal használatával
• A Batch .NET felügyeleti kódtárának használata a Batch-készlet létrehozásához

Figyelmeztetés

A készlet által felügyelt identitások helyszíni frissítései nem támogatottak, miközben a készlet aktív csomópontokkal rendelkezik. A meglévő számítási csomópontok nem frissülnek módosításokkal. Javasoljuk, hogy az identitásgyűjtemény módosítása előtt skálázza le a készletet nulla számítási csomópontra, hogy minden virtuális géphez azonos identitáskészlet legyen hozzárendelve.

Batch-készlet létrehozása az Azure Portalon

Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitással az Azure Portalon keresztül:

1. Jelentkezzen be az Azure Portalra.
2. A keresősávon adja meg és válassza ki a Batch-fiókokat.
3. A Batch-fiókok lapon válassza ki azt a Batch-fiókot, amelyben Batch-készletet szeretne létrehozni.
4. A Batch-fiók menüben a Funkciók alatt válassza a Készletek lehetőséget.
5. A Készletek menüben válassza a Hozzáadás lehetőséget egy új Batch-készlet hozzáadásához.
6. A csoportazonosító mezőbe írjon be egy azonosítót a csoportjához.
7. A Identitás beállítást módosítsa a Felhasználó által hozzárendelt értékre.
8. Válassza a Felhasználó által hozzárendelt felügyelt identitás területen a Hozzáadás lehetőséget.
9. Válassza ki a felhasználó által hozzárendelt felügyelt identitást vagy identitásokat, amelyeket használni szeretne. Ezután válassza a Hozzáadás lehetőséget.

Megjegyzés

Egyszerre csak egy felügyelt identitást rendelhet hozzá az automatikus tárfiók szintjéhez és a batch-fiók szintjéhez is. A készletszinten azonban rugalmasan használhat több felhasználó által hozzárendelt felügyelt identitásokat.

1. Az Operációs rendszer területen válassza ki a használni kívánt közzétevőt, ajánlatot és termékváltozatot.
2. Ha szeretné, engedélyezze a felügyelt identitást a tárolóregisztrációs adatbázisban:
   1. A Tárolókonfiguráció esetén módosítsa a beállítást egyéni értékre. Ezután válassza ki az egyéni konfigurációt.
   2. A Kezdés feladat-hoz válassza az Engedélyezve lehetőséget. Ezután válassza ki az Erőforrásfájlokat , és adja hozzá a tároló adatait.
   3. Tárolóbeállítások engedélyezése.
   4. Tárolóregisztráció módosítása Egyéni
   5. Az Identitáshivatkozás esetén válassza ki a tároló konténert.

Batch-készlet létrehozása .NET-tel

Ha felhasználó által hozzárendelt felügyelt identitással rendelkező Batch-készletet szeretne létrehozni a Batch .NET felügyeleti kódtárával, használja az alábbi példakódot:

var credential = new DefaultAzureCredential();
ArmClient _armClient = new ArmClient(credential);

var batchAccountIdentifier = ResourceIdentifier.Parse("your-batch-account-resource-id");
BatchAccountResource batchAccount = _armClient.GetBatchAccountResource(batchAccountIdentifier);

var poolName = "HelloWorldPool";
var imageReference = new BatchImageReference()
{
    Publisher = "canonical",
    Offer = "0001-com-ubuntu-server-jammy",
    Sku = "22_04-lts",
    Version = "latest"
};
string nodeAgentSku = "batch.node.ubuntu 22.04";

var batchAccountPoolData = new BatchAccountPoolData()
{
    VmSize = "Standard_DS1_v2",
    DeploymentConfiguration = new BatchDeploymentConfiguration()
    {
        VmConfiguration = new BatchVmConfiguration(imageReference, nodeAgentSku)
    },
    ScaleSettings = new BatchAccountPoolScaleSettings()
    {
        FixedScale = new BatchAccountFixedScaleSettings()
        {
            TargetDedicatedNodes = 1
        }
    }
};

ArmOperation<BatchAccountPoolResource> armOperation = batchAccount.GetBatchAccountPools().CreateOrUpdate(
    WaitUntil.Completed, poolName, batchAccountPoolData);
BatchAccountPoolResource pool = armOperation.Value;

Megjegyzés

Az Identity tulajdonság belefoglalásához használja a következő példakódot:

var identityResourceId = new ResourceIdentifier(
    "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identity-name}");

var poolData = new BatchAccountPoolData()
{
    VmSize = "STANDARD_D2_V2",
    DeploymentConfiguration = new BatchDeploymentConfiguration()
    {
        VmConfiguration = new BatchVmConfiguration(
            imageReference: new BatchImageReference()
            {
                Publisher = "canonical",
                Offer = "0001-com-ubuntu-server-jammy",
                Sku = "22_04-lts",
                Version = "latest"
            },
            nodeAgentSkuId: "batch.node.ubuntu 22.04")
    },
    ScaleSettings = new BatchAccountPoolScaleSettings()
    {
        FixedScale = new BatchAccountFixedScaleSettings() { TargetDedicatedNodes = 1 }
    },
    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities =
        {
            [identityResourceId] = new UserAssignedIdentity()
        }
    }
};

ArmOperation<BatchAccountPoolResource> op = await batchAccount.GetBatchAccountPools()
    .CreateOrUpdateAsync(WaitUntil.Completed, "myPool", poolData);

Felhasználó által hozzárendelt felügyelt identitások használata a Batch-csomópontokban

Számos Azure Batch-függvény, amely közvetlenül a számítási csomópontokon fér hozzá más Azure-erőforrásokhoz, például az Azure Storage vagy az Azure Container Registry, támogatja a felügyelt identitásokat. A felügyelt identitások Azure Batch-lel való használatával kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:

• Erőforrásfájlok
• Kimeneti fájlok
• Azure Container Registry
• Azure Blob-tároló fájlrendszere

Manuálisan is konfigurálhatja a feladatokat, hogy a felügyelt identitások közvetlenül hozzáférhessenek a felügyelt identitásokat támogató Azure-erőforrásokhoz.

A Batch-csomópontokon belül lekérheti a felügyelt identitás jogkivonatait, és használhatja őket a Microsoft Entra hitelesítéshez az Azure Instance Metadata Szolgáltatáson keresztül.

Windows esetén a PowerShell-szkript a következő hozzáférési jogkivonatot szeretné lekérni a hitelesítéshez:

$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}

Linux esetén a Bash-szkript a következő:

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true

További információkért lásd: Az Azure-erőforrások felügyelt identitásainak használata egy Azure-beli virtuális gépen a hozzáférési jogkivonat megszerzésének módja.

Következő lépések

• További információ az Azure-erőforrások felügyelt identitásairól.
• Megtudhatja, hogyan használhatja az ügyfél által felügyelt kulcsokat felhasználó által felügyelt identitásokkal.
• Megtudhatja, hogyan engedélyezheti az automatikus tanúsítványforgatást egy Batch-készletben.