Felügyelt identitások konfigurálása a Batch-készletekben

Az Azure-erőforrások felügyelt identitásai kiküszöbölik a bonyolult identitás- és hitelesítő adatok kezelését azáltal, hogy identitást biztosítanak az Azure-erőforráshoz a Microsoft Entra ID-ban (Azure AD-azonosító). Ez az identitás a Microsoft Entra-jogkivonatok lekérésére szolgál a célerőforrásokkal való hitelesítéshez az Azure-ban.

Ez a témakör bemutatja, hogyan engedélyezheti a felhasználó által hozzárendelt felügyelt identitásokat a Batch-készletekben, és hogyan használhat felügyelt identitásokat a csomópontokon belül.

Fontos

Felügyelt identitásokkal rendelkező készletek létrehozása csak a Batch Management Plane API-kkal vagy az Entra-hitelesítést használó SDK-kkal végezhető el. A Batch Service API-k vagy SDK-k használatával nem hozhatók létre felügyelt identitásokkal rendelkező készletek. További információkért tekintse meg a Batch API-k és -eszközök áttekintési dokumentációját.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Először hozza létre a felhasználó által hozzárendelt felügyelt identitást ugyanabban a bérlőben, mint a Batch-fiók. Az identitást az Azure Portal, az Azure Parancssori felület (Azure CLI), a PowerShell, az Azure Resource Manager vagy az Azure REST API használatával hozhatja létre. Ennek a felügyelt identitásnak nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.

Tipp.

A Batch-fiókhoz az ügyféladatok titkosításához létrehozott rendszer által hozzárendelt felügyelt identitás nem használható felhasználó által hozzárendelt felügyelt identitásként egy Batch-készleten, a jelen dokumentumban leírtak szerint. Ha ugyanazt a felügyelt identitást szeretné használni a Batch-fiókon és a Batch-készleten is, akkor használjon inkább egy közös, felhasználó által hozzárendelt felügyelt identitást.

Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitásokkal

Miután létrehozott egy vagy több felhasználó által hozzárendelt felügyelt identitást, létrehozhat egy Batch-készletet az identitással vagy ezekkel az identitásokkal. A következőket teheti:

• A Batch-készlet létrehozása az Azure Portal használatával
• A Batch .NET felügyeleti kódtárának használata a Batch-készlet létrehozásához

Figyelmeztetés

A készlet által felügyelt identitások helyszíni frissítései nem támogatottak, miközben a készlet aktív csomópontokkal rendelkezik. A meglévő számítási csomópontok nem frissülnek módosításokkal. Javasoljuk, hogy az identitásgyűjtemény módosítása előtt skálázza le a készletet nulla számítási csomópontra, hogy minden virtuális géphez azonos identitáskészlet legyen hozzárendelve.

Batch-készlet létrehozása az Azure Portalon

Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitással az Azure Portalon keresztül:

1. Jelentkezzen be az Azure Portalra.
2. A keresősávon adja meg és válassza ki a Batch-fiókokat.
3. A Batch-fiókok lapon válassza ki azt a Batch-fiókot, amelyben Batch-készletet szeretne létrehozni.
4. A Batch-fiók menü Szolgáltatások területén válassza a Készletek lehetőséget.
5. A Készletek menüben válassza a Hozzáadás lehetőséget egy új Batch-készlet hozzáadásához.
6. Készletazonosítóként adja meg a készlet azonosítóját.
7. Identitás esetén módosítsa a felhasználó által hozzárendelt beállítást.
8. A Felhasználó által hozzárendelt felügyelt identitás területen válassza a Hozzáadás lehetőséget.
9. Válassza ki a felhasználó által hozzárendelt felügyelt identitásokat vagy identitásokat. Ezután válassza a Hozzáadás lehetőséget.
10. Az Operációs rendszer területen válassza ki a használni kívánt közzétevőt, ajánlatot és termékváltozatot.
11. Ha szeretné, engedélyezze a felügyelt identitást a tárolóregisztrációs adatbázisban:
    1. Tárolókonfiguráció esetén módosítsa a beállítást egyénire. Ezután válassza ki az egyéni konfigurációt.
    2. A kezdési tevékenységhez válassza az Engedélyezve lehetőséget. Ezután válassza ki az Erőforrásfájlokat , és adja hozzá a tároló adatait.
    3. Tárolóbeállítások engedélyezése.
    4. Tárolóregisztrációs adatbázis módosítása egyénire
    5. Identitáshivatkozás esetén válassza ki a tárolót.

Batch-készlet létrehozása .NET-tel

Ha felhasználó által hozzárendelt felügyelt identitással rendelkező Batch-készletet szeretne létrehozni a Batch .NET felügyeleti kódtárával, használja az alábbi példakódot:

var credential = new DefaultAzureCredential();
ArmClient _armClient = new ArmClient(credential);
        
var batchAccountIdentifier = ResourceIdentifier.Parse("your-batch-account-resource-id");   
BatchAccountResource batchAccount = _armClient.GetBatchAccountResource(batchAccountIdentifier);

var poolName = "HelloWorldPool";
var imageReference = new BatchImageReference()
{
    Publisher = "canonical",
    Offer = "0001-com-ubuntu-server-jammy",
    Sku = "22_04-lts",
    Version = "latest"
};
string nodeAgentSku = "batch.node.ubuntu 22.04";

var batchAccountPoolData = new BatchAccountPoolData()
{
    VmSize = "Standard_DS1_v2",
    DeploymentConfiguration = new BatchDeploymentConfiguration()
    {
        VmConfiguration = new BatchVmConfiguration(imageReference, nodeAgentSku)
    },
    ScaleSettings = new BatchAccountPoolScaleSettings()
    {
        FixedScale = new BatchAccountFixedScaleSettings()
        {
            TargetDedicatedNodes = 1
        }
    }
};

ArmOperation<BatchAccountPoolResource> armOperation = batchAccount.GetBatchAccountPools().CreateOrUpdate(
    WaitUntil.Completed, poolName, batchAccountPoolData);
BatchAccountPoolResource pool = armOperation.Value;

Felhasználó által hozzárendelt felügyelt identitások használata a Batch-csomópontokban

Számos Azure Batch-függvény, amely közvetlenül a számítási csomópontokon fér hozzá más Azure-erőforrásokhoz, például az Azure Storage vagy az Azure Container Registry, támogatja a felügyelt identitásokat. A felügyelt identitások Azure Batch-lel való használatával kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:

• Erőforrásfájlok
• Kimeneti fájlok
• Azure Container Registry
• Azure Blob-tároló fájlrendszere

Manuálisan is konfigurálhatja a feladatokat, hogy a felügyelt identitások közvetlenül hozzáférhessenek a felügyelt identitásokat támogató Azure-erőforrásokhoz.

A Batch-csomópontokon belül lekérheti a felügyelt identitás jogkivonatait, és használhatja őket a Microsoft Entra-hitelesítésen keresztüli hitelesítésre az Azure Instance Metadata Szolgáltatáson keresztül.

Windows esetén a PowerShell-szkript a következő hozzáférési jogkivonatot szeretné lekérni a hitelesítéshez:

$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}

Linux esetén a Bash-szkript a következő:

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true

További információ: Felügyelt identitások használata Azure-erőforrásokhoz azure-beli virtuális gépen hozzáférési jogkivonat beszerzéséhez.

Következő lépések

• További információ az Azure-erőforrások felügyelt identitásairól.
• Megtudhatja, hogyan használhatja az ügyfél által felügyelt kulcsokat felhasználó által felügyelt identitásokkal.
• Megtudhatja, hogyan engedélyezheti az automatikus tanúsítványforgatást egy Batch-készletben.