Felügyelt identitások konfigurálása a Batch-készletekben

Az Azure-erőforrások felügyelt identitásai kiküszöbölik a bonyolult identitás- és hitelesítő adatok kezelését azáltal, hogy identitást biztosítanak az Azure-erőforráshoz a Microsoft Entra ID-ban (Azure AD-azonosító). Ez az identitás a Microsoft Entra-jogkivonatok lekérésére szolgál a célerőforrásokkal való hitelesítéshez az Azure-ban.

Ez a témakör bemutatja, hogyan engedélyezheti a felhasználó által hozzárendelt felügyelt identitásokat a Batch-készletekben, és hogyan használhat felügyelt identitásokat a csomópontokon belül.

Fontos

A készleteket a felügyelt identitások használatához virtuálisgép-konfigurációval kell konfigurálni.

Felügyelt identitásokkal rendelkező készletek létrehozása a Batch .NET felügyeleti kódtárával végezhető el, de jelenleg nem támogatott a Batch .NET-ügyfélkódtárban.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Először hozza létre a felhasználó által hozzárendelt felügyelt identitást ugyanabban a bérlőben, mint a Batch-fiók. Az identitást az Azure Portal, az Azure Parancssori felület (Azure CLI), a PowerShell, az Azure Resource Manager vagy az Azure REST API használatával hozhatja létre. Ennek a felügyelt identitásnak nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.

Tipp.

A Batch-fiókhoz az ügyféladatok titkosításához létrehozott rendszer által hozzárendelt felügyelt identitás nem használható felhasználó által hozzárendelt felügyelt identitásként egy Batch-készleten, a jelen dokumentumban leírtak szerint. Ha ugyanazt a felügyelt identitást szeretné használni a Batch-fiókon és a Batch-készleten is, akkor használjon inkább egy közös, felhasználó által hozzárendelt felügyelt identitást.

Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitásokkal

Miután létrehozott egy vagy több felhasználó által hozzárendelt felügyelt identitást, létrehozhat egy Batch-készletet ezzel az identitással vagy ezekkel az identitásokkal. A következőket teheti:

• A Batch-készlet létrehozása az Azure Portal használatával
• A Batch .NET felügyeleti kódtárának használata a Batch-készlet létrehozásához

Figyelmeztetés

A készlet által felügyelt identitások helyszíni frissítései nem támogatottak, miközben a készlet aktív csomópontokkal rendelkezik. A meglévő számítási csomópontok nem frissülnek módosításokkal. Javasoljuk, hogy az identitásgyűjtemény módosítása előtt skálázza le a készletet nulla számítási csomópontra, hogy minden virtuális géphez azonos identitáskészlet legyen hozzárendelve.

Batch-készlet létrehozása az Azure Portalon

Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitással az Azure Portalon keresztül:

1. Jelentkezzen be az Azure Portalra.
2. A keresősávon adja meg és válassza ki a Batch-fiókokat.
3. A Batch-fiókok lapon válassza ki azt a Batch-fiókot, amelyben Batch-készletet szeretne létrehozni.
4. A Batch-fiók menü Szolgáltatások területén válassza a Készletek lehetőséget.
5. A Készletek menüben válassza a Hozzáadás lehetőséget egy új Batch-készlet hozzáadásához.
6. Készletazonosítóként adja meg a készlet azonosítóját.
7. Identitás esetén módosítsa a felhasználó által hozzárendelt beállítást.
8. A Felhasználó által hozzárendelt felügyelt identitás területen válassza a Hozzáadás lehetőséget.
9. Válassza ki a felhasználó által hozzárendelt felügyelt identitásokat vagy identitásokat. Ezután válassza a Hozzáadás lehetőséget.
10. Az Operációs rendszer területen válassza ki a használni kívánt közzétevőt, ajánlatot és termékváltozatot.
11. Ha szeretné, engedélyezze a felügyelt identitást a tárolóregisztrációs adatbázisban:
    1. Tárolókonfiguráció esetén módosítsa a beállítást egyénire. Ezután válassza ki az egyéni konfigurációt.
    2. A kezdési tevékenységhez válassza az Engedélyezve lehetőséget. Ezután válassza ki az Erőforrásfájlokat , és adja hozzá a tároló adatait.
    3. Tárolóbeállítások engedélyezése.
    4. Tárolóregisztrációs adatbázis módosítása egyénire
    5. Identitáshivatkozás esetén válassza ki a tárolót.

Batch-készlet létrehozása .NET-tel

Ha felhasználó által hozzárendelt felügyelt identitással rendelkező Batch-készletet szeretne létrehozni a Batch .NET felügyeleti kódtárával, használja az alábbi példakódot:

var poolParameters = new Pool(name: "yourPoolName")
    {
        VmSize = "standard_d2_v3",
        ScaleSettings = new ScaleSettings
        {
            FixedScale = new FixedScaleSettings
            {
                TargetDedicatedNodes = 1
            }
        },
        DeploymentConfiguration = new DeploymentConfiguration
        {
            VirtualMachineConfiguration = new VirtualMachineConfiguration(
                new ImageReference(
                    "Canonical",
                    "0001-com-ubuntu-server-jammy",
                    "22_04-lts",
                    "latest"),
                "batch.node.ubuntu 22.04")
        },
        Identity = new BatchPoolIdentity
        {
            Type = PoolIdentityType.UserAssigned,
            UserAssignedIdentities = new Dictionary<string, UserAssignedIdentities>
            {
                ["Your Identity Resource Id"] =
                    new UserAssignedIdentities()
            }
        }
    };

var pool = await managementClient.Pool.CreateWithHttpMessagesAsync(
    poolName:"yourPoolName",
    resourceGroupName: "yourResourceGroupName",
    accountName: "yourAccountName",
    parameters: poolParameters,
    cancellationToken: default(CancellationToken)).ConfigureAwait(false);

Felhasználó által hozzárendelt felügyelt identitások használata a Batch-csomópontokban

Számos Azure Batch-függvény, amely közvetlenül a számítási csomópontokon fér hozzá más Azure-erőforrásokhoz, például az Azure Storage vagy az Azure Container Registry, támogatja a felügyelt identitásokat. A felügyelt identitások Azure Batch-lel való használatával kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:

• Erőforrásfájlok
• Kimeneti fájlok
• Azure Container Registry
• Azure Blob-tároló fájlrendszere

Manuálisan is konfigurálhatja a feladatokat, hogy a felügyelt identitások közvetlenül hozzáférhessenek a felügyelt identitásokat támogató Azure-erőforrásokhoz.

A Batch-csomópontokon belül lekérheti a felügyelt identitás jogkivonatait, és használhatja őket a Microsoft Entra-hitelesítésen keresztüli hitelesítésre az Azure Instance Metadata Szolgáltatáson keresztül.

Windows esetén a PowerShell-szkript a következő hozzáférési jogkivonatot szeretné lekérni a hitelesítéshez:

$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}

Linux esetén a Bash-szkript a következő:

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true

További információ: Felügyelt identitások használata Azure-erőforrásokhoz azure-beli virtuális gépen hozzáférési jogkivonat beszerzéséhez.

Következő lépések

• További információ az Azure-erőforrások felügyelt identitásairól.
• Megtudhatja, hogyan használhatja az ügyfél által felügyelt kulcsokat felhasználó által felügyelt identitásokkal.
• Megtudhatja, hogyan engedélyezheti az automatikus tanúsítványforgatást egy Batch-készletben.