Megosztás a következőn keresztül:

Felügyelt identitások használata

  • Cikk

Azure AD felügyelt identitások használatával engedélyezheti az Azure CycleCloud számára az előfizetésben lévő fürtök kezelését (a szolgáltatásnév használata helyett). A CycleCloud virtuális gépekhez is hozzárendelhetők, hogy hozzáférést biztosítsanak az Azure-erőforrásokhoz (például Storage, Key Vault vagy Azure Container Registries).

CycleCloud virtuálisgép-engedélyek felügyelt identitással

A CycleCloud számos hívást automatizál az Azure Resource Manager a HPC-fürtök kezelése céljából. Ez az automatizálás bizonyos engedélyeket igényel a CycleCloud számára. Ez a hozzáférés egy szolgáltatásnév konfigurálásával vagy egy felügyelt identitás CycleCloud virtuális géphez való hozzárendelésével adható meg a CycleCloud számára.

Általában ajánlott rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást használni az engedélyek szolgáltatásnév helyett történő megadásához.

Ha az Azure CycleCloud egy felügyelt identitással rendelkező Azure-beli virtuális gépre lett telepítve, a Felhőszolgáltatói fiók létrehozása párbeszédpanel kissé másképp fog viselkedni. Új jelölőnégyzet jelenik meg a felügyelt identitáshoz , és az előfizetés-azonosító előre ki lesz töltve a gazdagép virtuális gép előfizetésével.

Előfizetés által felügyelt identitások hozzáadása

Előfizetés által felügyelt identitások hozzáadása

Továbbra is be lehet írni a hitelesítő adatok szabványos készletét a Felügyelt identitás jelölőnégyzet jelölésének egyszerű bejelölésével. Ezt követően a szabványos mezők hozzá lesznek adva az űrlaphoz. Emellett teljesen elfogadható, ha külön előfizetés-azonosítót használ; a megadott érték csak a kényelem kedvéért van megadva.

Egyéni szerepkör és felügyelt identitás létrehozása a CycleCloudhoz

A legegyszerűbb (megfelelő hozzáférési jogosultságokkal rendelkező) lehetőség az előfizetés közreműködői szerepkörének hozzárendelése a CycleCloud virtuális géphez System-Assigned felügyelt identitásként. A közreműködői szerepkör azonban magasabb jogosultsági szinttel rendelkezik, mint amennyit a CycleCloud igényel. Létre lehet hozni és hozzárendelni egy egyéni szerepkört a virtuális géphez.

Az alábbiakban a CycleCloud legtöbb funkciójának megfelelő szabályzatot talál.

{
    "assignableScopes": [
      "/"
    ],
    "description": "CycleCloud Orchestrator Role",
    "permissions": [
      {
        "actions": [
          "Microsoft.Commerce/RateCard/read",
          "Microsoft.Compute/*/read",
          "Microsoft.Compute/availabilitySets/*",
          "Microsoft.Compute/disks/*",
          "Microsoft.Compute/images/read",
          "Microsoft.Compute/locations/usages/read",
          "Microsoft.Compute/register/action",
          "Microsoft.Compute/skus/read",
          "Microsoft.Compute/virtualMachines/*",
          "Microsoft.Compute/virtualMachineScaleSets/*",
          "Microsoft.Compute/virtualMachineScaleSets/virtualMachines/*",
          "Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
          "Microsoft.Network/*/read",
          "Microsoft.Network/locations/*/read",
          "Microsoft.Network/networkInterfaces/read",
          "Microsoft.Network/networkInterfaces/write",
          "Microsoft.Network/networkInterfaces/delete",
          "Microsoft.Network/networkInterfaces/join/action",
          "Microsoft.Network/networkSecurityGroups/read",
          "Microsoft.Network/networkSecurityGroups/write",
          "Microsoft.Network/networkSecurityGroups/delete",
          "Microsoft.Network/networkSecurityGroups/join/action",
          "Microsoft.Network/publicIPAddresses/read",
          "Microsoft.Network/publicIPAddresses/write",
          "Microsoft.Network/publicIPAddresses/delete",
          "Microsoft.Network/publicIPAddresses/join/action",
          "Microsoft.Network/register/action",
          "Microsoft.Network/virtualNetworks/read",
          "Microsoft.Network/virtualNetworks/subnets/read",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Resources/deployments/read",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
          "Microsoft.Resources/subscriptions/operationresults/read",
          "Microsoft.Storage/*/read",
          "Microsoft.Storage/checknameavailability/read",
          "Microsoft.Storage/register/action",
          "Microsoft.Storage/storageAccounts/read",
          "Microsoft.Storage/storageAccounts/listKeys/action",
          "Microsoft.Storage/storageAccounts/write"
        ],
        "dataActions": [],
        "notActions": [],
        "notDataActions": []
      }
    ],
    "Name": "CycleCloud",
    "roleType": "CustomRole",
    "type": "Microsoft.Authorization/roleDefinitions"
}

Fontos

Az egyéni szerepkör használatához Prémium P1 szintű Azure AD licenc szükséges. A követelményeknek megfelelő licenc megtalálásához lásd: Az ingyenes, alapszintű és prémium kiadások általánosan elérhető funkcióinak összehasonlítása.

Nem kötelező engedélyek

Ha engedélyezni szeretné, hogy a CycleCloud felügyelt identitásokat rendeljen a fürtökben létrehozott virtuális gépekhez, adja hozzá a következőket "actions":

          "Microsoft.Authorization/*/read",
          "Microsoft.Authorization/roleAssignments/*",
          "Microsoft.Authorization/roleDefinitions/*",

Ha engedélyezni szeretné, hogy a CycleCloud fürtönként hozzon létre és kezelje az erőforráscsoportokat (ha a szabályzat ezt megengedi), adja hozzá a következőket "actions":

          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Resources/subscriptions/resourceGroups/write",
          "Microsoft.Resources/subscriptions/resourceGroups/delete",

A szerepkör létrehozása

Szerepkör hozható létre a szerepkördefiníciókból az Azure CLI-vel . Ezzel a szerepkörrel hozzon létre egy szerepkördefiníciót az Azure-bérlőn belül. Ha a szerepkör létezik a bérlőben, rendelje hozzá a szerepkört egy megfelelő hatókörű identitáshoz.

Az alábbiakban az Azure CLI-t használó alapszintű folyamat látható.

# Create a custom role definition
az role definition create --role-definition role.json
# Create user identity
az identity create --name <name>
# Assign the custom role to the identity with proper scope
az role assignment create --role <CycleCloudRole> --assignee-object-id <identity-id> --scope <subscription>

Most az egyéni szerepkör ki van rendelve és hatóköre az identitáshoz, és virtuális géppel is használható.

Szerepkörök hozzárendelése felügyelt identitással rendelkező fürt virtuális gépekhez

A fürtcsomópontok gyakran igényelnek hozzáférést az Azure-erőforrásokhoz. Sok fürtnek például hozzáférésre van szüksége az Azure Storage-hoz, Key Vault vagy Azure Container Registrieshez a számítási feladatok futtatásához. Erősen ajánlott átadni a szükséges hozzáférési hitelesítő adatokat egy felhasználó által hozzárendelt felügyelt identitással ahelyett, hogy titkos kulcsokat/hitelesítő adatokat ad át a csomópontnak fürtkonfiguráción keresztül.

User-Assigned a fürt virtuális gépén a csomóponttulajdonság használatával konfigurálhatók felügyelt Azure.Identities identitások. A tulajdonság értéke a Azure.Identities felügyelt identitás erőforrás-azonosító sztringjeinek vesszővel tagolt listája:

[cluster sample]
...
    [[node defaults]]
    ...
    Azure.Identities = $ManagedServiceIdentity
...

[parameters Required Settings]
...
  [[parameter ManagedServiceIdentity]]
  ParameterType = Azure.ManagedIdentity
  Label = MSI Identity
  Description = The resource ID of the Managed Service Identity to apply to the nodes
...