Megosztás a következőn keresztül:


Batch-fióktanúsítványok Azure Key Vaultba migrálása

2024. február 29-én az Azure Batch-fiók tanúsítványainak szolgáltatása megszűnik. Ebből a cikkből megtudhatja, hogyan migrálhatja tanúsítványait Azure Batch-fiókokban az Azure Key Vault használatával.

Információk az

A tanúsítványokra gyakran különböző helyzetekben van szükség, például titkos kulcsok visszafejtésére, kommunikációs csatornák védelmére vagy egy másik szolgáltatás elérésére. Az Azure Batch jelenleg kétféleképpen kezelheti a tanúsítványokat a Batch-készletekben. Tanúsítványokat adhat hozzá Egy Batch-fiókhoz, vagy használhatja az Azure Key Vault virtuálisgép-bővítményt a Batch-készletek tanúsítványainak kezeléséhez. A rendszer csak az Azure Batch-fiók tanúsítványfunkcióit és a Batch-készletekre kiterjesztő funkciókat vonja ki a Készlet hozzáadása, a Patch Pool, a Frissítési tulajdonságok és a Készlet beolvasása és listázása API-k megfelelő hivatkozásaiból CertificateReference . Emellett a Linux-készletek esetében a környezeti változó $AZ_BATCH_CERTIFICATES_DIR már nem lesz definiálva és feltöltve.

A szolgáltatás támogatásának megszűnése

Az Azure Key Vault egy szabványos, ajánlott mechanizmus a titkos kódok és tanúsítványok biztonságos tárolására és elérésére az Azure-ban. Ezért 2024. február 29-én megszüntetjük a Batch-fióktanúsítványok funkciót az Azure Batchben. A másik lehetőség az, hogy az Azure Key Vault virtuálisgép-bővítményt és egy felhasználó által hozzárendelt felügyelt identitást használ a készleten a tanúsítványok biztonságos eléréséhez és telepítéséhez a Batch-készleteken.

Miután az Azure Batch tanúsítványszolgáltatását 2024. február 29-én megszüntették, a Batch egyik tanúsítványa nem a várt módon fog működni. Ezen dátum után már nem tud tanúsítványokat hozzáadni egy Batch-fiókhoz, vagy ezeket a tanúsítványokat a Batch-készletekhez kapcsolni. Előfordulhat, hogy azok a készletek, amelyek ezt a funkciót a dátum után is használják, nem feltétlenül a várt módon működnek, például a tanúsítványhivatkozások frissítése vagy a meglévő tanúsítványhivatkozások telepítésének lehetősége.

Alternatív megoldás: Az Azure Key Vault virtuálisgép-bővítmény használata a készlet felhasználó által hozzárendelt felügyelt identitásával

Az Azure Key Vault egy teljes mértékben felügyelt Azure-szolgáltatás, amely szabályozott hozzáférést biztosít a titkos kódok, tanúsítványok, jogkivonatok és kulcsok tárolásához és kezeléséhez. A Key Vault biztosítja a biztonságot az átviteli rétegen, és biztosítja, hogy a kulcstartóból az ügyfélalkalmazásba irányuló összes adatfolyam titkosítva legyen. Az Azure Key Vault biztonságos módot biztosít az alapvető hozzáférési információk tárolására és a részletes hozzáférés-vezérlés beállítására. Egyetlen irányítópulton kezelheti az összes titkos kódot. Válassza ki, hogy szoftveres vagy hardveres védelemmel ellátott hardveres biztonsági modulokban (HSM-ekben) tárolja a kulcsot. A Key Vaultot a tanúsítványok automatikus megújítására is beállíthatja.

Az Azure Key Vault virtuálisgép-bővítmény felhasználó által hozzárendelt felügyelt identitással való engedélyezéséről a Batch-készlet automatikus tanúsítványforgatásának engedélyezése című témakörben olvashat bővebben.

GYIK

  • A CloudServiceConfiguration készletek támogatják az Azure Key Vault virtuálisgép-bővítményt és a felügyelt identitást a készleteken?

    Szám CloudServiceConfigurationa készletek kivonása az Azure Batch-fiók tanúsítványának 2024. február 29-i kivonásával egyidőben történik. Azt javasoljuk, hogy a fenti dátum előtt migráljon VirtualMachineConfiguration a készletekbe, ahol használhatja ezeket a megoldásokat.

  • Támogatja a felhasználói előfizetési készlet foglalási Batch-fiókjai az Azure Key Vaultot?

    Igen. Használhatja ugyanazt a Key Vaultot, mint amelyet a Batch-fiókjában megadott, mint a készletekhez, de a Batch-készletek tanúsítványaihoz használt Key Vault teljesen különálló lehet.

  • A Linux- és a Windows Batch-készletek is támogatottak a Key Vault virtuálisgép-bővítményével?

    Igen. Tekintse meg a Windows és a Linux dokumentációját.

  • Frissítheti a meglévő készleteket Key Vault virtuálisgép-bővítménysel?

    Nem, ezek a tulajdonságok nem frissíthetők a készleten. Újra létre kell hoznia a készleteket.

  • Hogyan a Linux Batch-készletek tanúsítványaira mutató hivatkozásokat kap, mert $AZ_BATCH_CERTIFICATES_DIR az el lesz távolítva?

    A Linuxhoz készült Key Vault virtuálisgép-bővítmény lehetővé teszi a certificateStoreLocationtanúsítvány tárolásának abszolút elérési útját. A Key Vault virtuálisgép-bővítmény a megadott helyen telepített tanúsítványok hatókörét csak a legfelső szintű jogosultságokkal fogja használni. Meg kell győződnie arról, hogy a feladatok rendszergazdai jogosultsággal futnak, hogy alapértelmezés szerint hozzáférjenek ezekhez a tanúsítványokhoz, vagy a tanúsítványokat egy közvetlenül elérhető példányra másolja, és/vagy a megfelelő fájlmódokkal módosítsa a tanúsítványfájlokat. Az ilyen parancsokat egy emelt szintű kezdési vagy feladat-előkészítési feladat részeként futtathatja.

  • Hogyan olyan fájlokat telepít, .cer amelyek nem tartalmaznak titkos kulcsokat?

    A Key Vault nem tekinti kiemeltnek ezeket a fájlokat, mivel nem tartalmaznak titkos kulcsadatokat. A fájlokat az alábbi módszerek egyikével telepítheti .cer . Használja a Key Vault titkos kulcsait a társított felhasználó által hozzárendelt felügyelt identitás megfelelő hozzáférési jogosultságaival, és kérje le a fájlt a .cer telepítés megkezdéséhez. Másik lehetőségként tárolja a .cer fájlt Azure Storage-blobként, és hivatkozzon Batch-erőforrásfájlként a telepítés megkezdéséhez.

  • Hogyan elérni a Key Vault bővítmény telepített tanúsítványait a feladatszintű, nem automatikus készlet-identitásokhoz?

    A feladatszintű autofelhasználók igény szerint jönnek létre, és nem határozhatók meg előre a accounts Key Vault virtuálisgép-bővítmény tulajdonságába való beíráshoz. Szüksége lesz egy egyéni folyamatra, amely exportálja a szükséges tanúsítványt egy általánosan elérhető tárolóba vagy ACL-be a feladatszintű autofelhasználók általi hozzáféréshez.

  • Hol találhatok ajánlott eljárásokat az Azure Key Vault használatához?

    Tekintse meg az Azure Key Vault ajánlott eljárásait.

Következő lépések

További információ: Key Vault-tanúsítványhozzáférés-vezérlés. Az áttelepítéshez kapcsolódó Batch-funkciókkal kapcsolatos további információkért tekintse meg az Azure Batch Pool bővítményeit és az Azure Batch Pool felügyelt identitását.