Felügyelt identitások konfigurálása a Batch-készletekben
Az Azure-erőforrások felügyelt identitásai kiküszöbölik a bonyolult identitás- és hitelesítő adatok kezelését azáltal, hogy identitást biztosítanak az Azure-erőforráshoz a Microsoft Entra ID-ban (Azure AD-azonosító). Ez az identitás a Microsoft Entra-jogkivonatok lekérésére szolgál a célerőforrásokkal való hitelesítéshez az Azure-ban.
Ez a témakör bemutatja, hogyan engedélyezheti a felhasználó által hozzárendelt felügyelt identitásokat a Batch-készletekben, és hogyan használhat felügyelt identitásokat a csomópontokon belül.
Fontos
A készleteket a felügyelt identitások használatához virtuálisgép-konfigurációval kell konfigurálni.
Felügyelt identitásokkal rendelkező készletek létrehozása a Batch .NET felügyeleti kódtárával végezhető el, de jelenleg nem támogatott a Batch .NET-ügyfélkódtárban.
Felhasználó által hozzárendelt felügyelt identitás létrehozása
Először hozza létre a felhasználó által hozzárendelt felügyelt identitást ugyanabban a bérlőben, mint a Batch-fiók. Az identitást az Azure Portal, az Azure Parancssori felület (Azure CLI), a PowerShell, az Azure Resource Manager vagy az Azure REST API használatával hozhatja létre. Ennek a felügyelt identitásnak nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.
Tipp.
A Batch-fiókhoz az ügyféladatok titkosításához létrehozott rendszer által hozzárendelt felügyelt identitás nem használható felhasználó által hozzárendelt felügyelt identitásként egy Batch-készleten, a jelen dokumentumban leírtak szerint. Ha ugyanazt a felügyelt identitást szeretné használni a Batch-fiókon és a Batch-készleten is, akkor használjon inkább egy közös, felhasználó által hozzárendelt felügyelt identitást.
Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitásokkal
Miután létrehozott egy vagy több felhasználó által hozzárendelt felügyelt identitást, létrehozhat egy Batch-készletet ezzel az identitással vagy ezekkel az identitásokkal. A következőket teheti:
- A Batch-készlet létrehozása az Azure Portal használatával
- A Batch .NET felügyeleti kódtárának használata a Batch-készlet létrehozásához
Figyelmeztetés
A készlet által felügyelt identitások helyszíni frissítései nem támogatottak, miközben a készlet aktív csomópontokkal rendelkezik. A meglévő számítási csomópontok nem frissülnek módosításokkal. Javasoljuk, hogy az identitásgyűjtemény módosítása előtt skálázza le a készletet nulla számítási csomópontra, hogy minden virtuális géphez azonos identitáskészlet legyen hozzárendelve.
Batch-készlet létrehozása az Azure Portalon
Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitással az Azure Portalon keresztül:
- Jelentkezzen be az Azure Portalra.
- A keresősávon adja meg és válassza ki a Batch-fiókokat.
- A Batch-fiókok lapon válassza ki azt a Batch-fiókot, amelyben Batch-készletet szeretne létrehozni.
- A Batch-fiók menü Szolgáltatások területén válassza a Készletek lehetőséget.
- A Készletek menüben válassza a Hozzáadás lehetőséget egy új Batch-készlet hozzáadásához.
- Készletazonosítóként adja meg a készlet azonosítóját.
- Identitás esetén módosítsa a felhasználó által hozzárendelt beállítást.
- A Felhasználó által hozzárendelt felügyelt identitás területen válassza a Hozzáadás lehetőséget.
- Válassza ki a felhasználó által hozzárendelt felügyelt identitásokat vagy identitásokat. Ezután válassza a Hozzáadás lehetőséget.
- Az Operációs rendszer területen válassza ki a használni kívánt közzétevőt, ajánlatot és termékváltozatot.
- Ha szeretné, engedélyezze a felügyelt identitást a tárolóregisztrációs adatbázisban:
- Tárolókonfiguráció esetén módosítsa a beállítást egyénire. Ezután válassza ki az egyéni konfigurációt.
- A kezdési tevékenységhez válassza az Engedélyezve lehetőséget. Ezután válassza ki az Erőforrásfájlokat , és adja hozzá a tároló adatait.
- Tárolóbeállítások engedélyezése.
- Tárolóregisztrációs adatbázis módosítása egyénire
- Identitáshivatkozás esetén válassza ki a tárolót.
Batch-készlet létrehozása .NET-tel
Ha felhasználó által hozzárendelt felügyelt identitással rendelkező Batch-készletet szeretne létrehozni a Batch .NET felügyeleti kódtárával, használja az alábbi példakódot:
var poolParameters = new Pool(name: "yourPoolName")
{
VmSize = "standard_d2_v3",
ScaleSettings = new ScaleSettings
{
FixedScale = new FixedScaleSettings
{
TargetDedicatedNodes = 1
}
},
DeploymentConfiguration = new DeploymentConfiguration
{
VirtualMachineConfiguration = new VirtualMachineConfiguration(
new ImageReference(
"Canonical",
"0001-com-ubuntu-server-jammy",
"22_04-lts",
"latest"),
"batch.node.ubuntu 22.04")
},
Identity = new BatchPoolIdentity
{
Type = PoolIdentityType.UserAssigned,
UserAssignedIdentities = new Dictionary<string, UserAssignedIdentities>
{
["Your Identity Resource Id"] =
new UserAssignedIdentities()
}
}
};
var pool = await managementClient.Pool.CreateWithHttpMessagesAsync(
poolName:"yourPoolName",
resourceGroupName: "yourResourceGroupName",
accountName: "yourAccountName",
parameters: poolParameters,
cancellationToken: default(CancellationToken)).ConfigureAwait(false);
Felhasználó által hozzárendelt felügyelt identitások használata a Batch-csomópontokban
Számos Azure Batch-függvény, amely közvetlenül a számítási csomópontokon fér hozzá más Azure-erőforrásokhoz, például az Azure Storage vagy az Azure Container Registry, támogatja a felügyelt identitásokat. A felügyelt identitások Azure Batch-lel való használatával kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:
Manuálisan is konfigurálhatja a feladatokat, hogy a felügyelt identitások közvetlenül hozzáférhessenek a felügyelt identitásokat támogató Azure-erőforrásokhoz.
A Batch-csomópontokon belül lekérheti a felügyelt identitás jogkivonatait, és használhatja őket a Microsoft Entra-hitelesítésen keresztüli hitelesítésre az Azure Instance Metadata Szolgáltatáson keresztül.
Windows esetén a PowerShell-szkript a következő hozzáférési jogkivonatot szeretné lekérni a hitelesítéshez:
$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}
Linux esetén a Bash-szkript a következő:
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true
További információ: Felügyelt identitások használata Azure-erőforrásokhoz azure-beli virtuális gépen hozzáférési jogkivonat beszerzéséhez.
Következő lépések
- További információ az Azure-erőforrások felügyelt identitásairól.
- Megtudhatja, hogyan használhatja az ügyfél által felügyelt kulcsokat felhasználó által felügyelt identitásokkal.
- Megtudhatja, hogyan engedélyezheti az automatikus tanúsítványforgatást egy Batch-készletben.