Batch-fióktanúsítványok Azure Key Vaultba migrálása
2024. február 29-én az Azure Batch-fiók tanúsítványainak szolgáltatása megszűnik. Ebből a cikkből megtudhatja, hogyan migrálhatja tanúsítványait Azure Batch-fiókokban az Azure Key Vault használatával.
Információk az
A tanúsítványokra gyakran különböző helyzetekben van szükség, például titkos kulcsok visszafejtésére, kommunikációs csatornák védelmére vagy egy másik szolgáltatás elérésére. Az Azure Batch jelenleg kétféleképpen kezelheti a tanúsítványokat a Batch-készletekben. Tanúsítványokat adhat hozzá Egy Batch-fiókhoz, vagy használhatja az Azure Key Vault virtuálisgép-bővítményt a Batch-készletek tanúsítványainak kezeléséhez. A rendszer csak az Azure Batch-fiók tanúsítványfunkcióit és a Batch-készletekre kiterjesztő funkciókat vonja ki a Készlet hozzáadása, a Patch Pool, a Frissítési tulajdonságok és a Készlet beolvasása és listázása API-k megfelelő hivatkozásaiból CertificateReference
. Emellett a Linux-készletek esetében a környezeti változó $AZ_BATCH_CERTIFICATES_DIR
már nem lesz definiálva és feltöltve.
A szolgáltatás támogatásának megszűnése
Az Azure Key Vault egy szabványos, ajánlott mechanizmus a titkos kódok és tanúsítványok biztonságos tárolására és elérésére az Azure-ban. Ezért 2024. február 29-én megszüntetjük a Batch-fióktanúsítványok funkciót az Azure Batchben. A másik lehetőség az, hogy az Azure Key Vault virtuálisgép-bővítményt és egy felhasználó által hozzárendelt felügyelt identitást használ a készleten a tanúsítványok biztonságos eléréséhez és telepítéséhez a Batch-készleteken.
Miután az Azure Batch tanúsítványszolgáltatását 2024. február 29-én megszüntették, a Batch egyik tanúsítványa nem a várt módon fog működni. Ezen dátum után már nem tud tanúsítványokat hozzáadni egy Batch-fiókhoz, vagy ezeket a tanúsítványokat a Batch-készletekhez kapcsolni. Előfordulhat, hogy azok a készletek, amelyek ezt a funkciót a dátum után is használják, nem feltétlenül a várt módon működnek, például a tanúsítványhivatkozások frissítése vagy a meglévő tanúsítványhivatkozások telepítésének lehetősége.
Alternatív megoldás: Az Azure Key Vault virtuálisgép-bővítmény használata a készlet felhasználó által hozzárendelt felügyelt identitásával
Az Azure Key Vault egy teljes mértékben felügyelt Azure-szolgáltatás, amely szabályozott hozzáférést biztosít a titkos kódok, tanúsítványok, jogkivonatok és kulcsok tárolásához és kezeléséhez. A Key Vault biztosítja a biztonságot az átviteli rétegen, és biztosítja, hogy a kulcstartóból az ügyfélalkalmazásba irányuló összes adatfolyam titkosítva legyen. Az Azure Key Vault biztonságos módot biztosít az alapvető hozzáférési információk tárolására és a részletes hozzáférés-vezérlés beállítására. Egyetlen irányítópulton kezelheti az összes titkos kódot. Válassza ki, hogy szoftveres vagy hardveres védelemmel ellátott hardveres biztonsági modulokban (HSM-ekben) tárolja a kulcsot. A Key Vaultot a tanúsítványok automatikus megújítására is beállíthatja.
Az Azure Key Vault virtuálisgép-bővítmény felhasználó által hozzárendelt felügyelt identitással való engedélyezéséről a Batch-készlet automatikus tanúsítványforgatásának engedélyezése című témakörben olvashat bővebben.
GYIK
A
CloudServiceConfiguration
készletek támogatják az Azure Key Vault virtuálisgép-bővítményt és a felügyelt identitást a készleteken?Szám
CloudServiceConfiguration
a készletek kivonása az Azure Batch-fiók tanúsítványának 2024. február 29-i kivonásával egyidőben történik. Azt javasoljuk, hogy a fenti dátum előtt migráljonVirtualMachineConfiguration
a készletekbe, ahol használhatja ezeket a megoldásokat.Támogatja a felhasználói előfizetési készlet foglalási Batch-fiókjai az Azure Key Vaultot?
Igen. Használhatja ugyanazt a Key Vaultot, mint amelyet a Batch-fiókjában megadott, mint a készletekhez, de a Batch-készletek tanúsítványaihoz használt Key Vault teljesen különálló lehet.
A Linux- és a Windows Batch-készletek is támogatottak a Key Vault virtuálisgép-bővítményével?
Frissítheti a meglévő készleteket Key Vault virtuálisgép-bővítménysel?
Nem, ezek a tulajdonságok nem frissíthetők a készleten. Újra létre kell hoznia a készleteket.
Hogyan a Linux Batch-készletek tanúsítványaira mutató hivatkozásokat kap, mert
$AZ_BATCH_CERTIFICATES_DIR
az el lesz távolítva?A Linuxhoz készült Key Vault virtuálisgép-bővítmény lehetővé teszi a
certificateStoreLocation
tanúsítvány tárolásának abszolút elérési útját. A Key Vault virtuálisgép-bővítmény a megadott helyen telepített tanúsítványok hatókörét csak a legfelső szintű jogosultságokkal fogja használni. Meg kell győződnie arról, hogy a feladatok rendszergazdai jogosultsággal futnak, hogy alapértelmezés szerint hozzáférjenek ezekhez a tanúsítványokhoz, vagy a tanúsítványokat egy közvetlenül elérhető példányra másolja, és/vagy a megfelelő fájlmódokkal módosítsa a tanúsítványfájlokat. Az ilyen parancsokat egy emelt szintű kezdési vagy feladat-előkészítési feladat részeként futtathatja.Hogyan olyan fájlokat telepít,
.cer
amelyek nem tartalmaznak titkos kulcsokat?A Key Vault nem tekinti kiemeltnek ezeket a fájlokat, mivel nem tartalmaznak titkos kulcsadatokat. A fájlokat az alábbi módszerek egyikével telepítheti
.cer
. Használja a Key Vault titkos kulcsait a társított felhasználó által hozzárendelt felügyelt identitás megfelelő hozzáférési jogosultságaival, és kérje le a fájlt a.cer
telepítés megkezdéséhez. Másik lehetőségként tárolja a.cer
fájlt Azure Storage-blobként, és hivatkozzon Batch-erőforrásfájlként a telepítés megkezdéséhez.Hogyan elérni a Key Vault bővítmény telepített tanúsítványait a feladatszintű, nem automatikus készlet-identitásokhoz?
A feladatszintű autofelhasználók igény szerint jönnek létre, és nem határozhatók meg előre a
accounts
Key Vault virtuálisgép-bővítmény tulajdonságába való beíráshoz. Szüksége lesz egy egyéni folyamatra, amely exportálja a szükséges tanúsítványt egy általánosan elérhető tárolóba vagy ACL-be a feladatszintű autofelhasználók általi hozzáféréshez.Hol találhatok ajánlott eljárásokat az Azure Key Vault használatához?
Tekintse meg az Azure Key Vault ajánlott eljárásait.
Következő lépések
További információ: Key Vault-tanúsítványhozzáférés-vezérlés. Az áttelepítéshez kapcsolódó Batch-funkciókkal kapcsolatos további információkért tekintse meg az Azure Batch Pool bővítményeit és az Azure Batch Pool felügyelt identitását.