Memigrasikan sertifikat akun Batch ke Azure Key Vault
Pada 29 Februari 2024, fitur sertifikat akun Azure Batch akan dihentikan. Pelajari cara memigrasikan sertifikat Anda di akun Azure Batch menggunakan Azure Key Vault di artikel ini.
Tentang fitur
Sertifikat sering diperlukan dalam berbagai skenario seperti mendekripsi rahasia, mengamankan saluran komunikasi, atau mengakses layanan lain. Saat ini, Azure Batch menawarkan dua cara untuk mengelola sertifikat pada kumpulan Batch. Anda dapat menambahkan sertifikat ke akun Batch atau Anda dapat menggunakan ekstensi VM Azure Key Vault untuk mengelola sertifikat pada kumpulan Batch. Hanya fungsionalitas sertifikat pada akun Azure Batch dan fungsionalitas yang diperluas ke kumpulan Batch melalui CertificateReference ke Tambahkan Kumpulan, Kumpulan Patch, Perbarui Properti dan referensi yang sesuai pada GET dan List Pool API sedang dihentikan. Selain itu, untuk kumpulan Linux, variabel $AZ_BATCH_CERTIFICATES_DIR lingkungan tidak akan lagi ditentukan dan diisi.
Akhir dukungan fitur
Azure Key Vault adalah mekanisme standar yang direkomendasikan untuk menyimpan dan mengakses rahasia dan sertifikat di Seluruh Azure dengan aman. Oleh karena itu, pada 29 Februari 2024, kami akan menghentikan fitur sertifikat akun Batch di Azure Batch. Alternatifnya adalah menggunakan Ekstensi VM Azure Key Vault dan identitas terkelola yang ditetapkan pengguna pada kumpulan untuk mengakses dan menginstal sertifikat dengan aman di kumpulan Batch Anda.
Setelah fitur sertifikat di Azure Batch dihentikan pada 29 Februari 2024, sertifikat di Batch tidak akan berfungsi seperti yang diharapkan. Setelah tanggal tersebut, Anda tidak akan dapat lagi menambahkan sertifikat ke akun Batch atau menautkan sertifikat ini ke kumpulan Batch. Kumpulan yang terus menggunakan fitur ini setelah tanggal ini mungkin tidak bertingkah seperti yang diharapkan seperti memperbarui referensi sertifikat atau kemampuan untuk menginstal referensi sertifikat yang ada.
Alternatif: Gunakan ekstensi VM Azure Key Vault dengan identitas terkelola yang ditetapkan pengguna kumpulan
Azure Key Vault adalah layanan Azure terkelola penuh yang menyediakan akses terkontrol untuk menyimpan dan mengelola rahasia, sertifikat, token, dan kunci. Key Vault memberikan keamanan di lapisan transportasi dengan memastikan bahwa aliran data apa pun dari brankas kunci ke aplikasi klien dienkripsi. Azure Key Vault memberi Anda cara yang aman untuk menyimpan informasi akses penting dan untuk mengatur kontrol akses menenangkan. Anda dapat mengelola semua rahasia dari satu dasbor. Pilih untuk menyimpan kunci dalam modul keamanan perangkat keras (HSM) yang dilindungi perangkat lunak atau perangkat keras. Anda juga dapat mengatur Key Vault ke sertifikat autorenew.
Untuk panduan lengkap tentang cara mengaktifkan Ekstensi VM Azure Key Vault dengan Identitas Terkelola yang ditetapkan Pengguna Kumpulan, lihat Mengaktifkan rotasi sertifikat otomatis di kumpulan Batch.
Tanya Jawab Umum
Apakah
CloudServiceConfigurationkumpulan mendukung ekstensi VM Azure Key Vault dan identitas terkelola pada kumpulan?Tidak.
CloudServiceConfigurationkumpulan akan dihentikan pada tanggal yang sama dengan penghentian sertifikat akun Azure Batch pada 29 Februari 2024. Sebaiknya Anda bermigrasi keVirtualMachineConfigurationkumpulan sebelum tanggal tersebut di mana Anda dapat menggunakan solusi ini.Apakah akun Batch alokasi kumpulan langganan pengguna mendukung Azure Key Vault?
Ya. Anda dapat menggunakan Key Vault yang sama seperti yang ditentukan dengan akun Batch Anda seperti untuk digunakan dengan kumpulan Anda, tetapi Key Vault Anda yang digunakan untuk sertifikat untuk kumpulan Batch Anda mungkin sepenuhnya terpisah.
Apakah kumpulan Linux dan Windows Batch didukung dengan ekstensi VM Key Vault?
Dapatkah Anda memperbarui kumpulan yang ada dengan ekstensi VM Key Vault?
Tidak, properti ini tidak dapat diperbarui pada kumpulan. Anda perlu membuat ulang kumpulan.
Bagaimana cara mendapatkan referensi ke sertifikat di Kumpulan Batch Linux karena
$AZ_BATCH_CERTIFICATES_DIRakan dihapus?Ekstensi VM Key Vault untuk Linux memungkinkan Anda menentukan
certificateStoreLocation, yang merupakan jalur absolut ke tempat sertifikat disimpan. Ekstensi VM Key Vault akan mencakup sertifikat yang diinstal di lokasi yang ditentukan hanya dengan hak istimewa superuser (root). Anda perlu memastikan bahwa tugas Anda berjalan ditingkatkan untuk mengakses sertifikat ini secara default, atau menyalin sertifikat ke file sertifikat yang dapat diakses secara langsung dan/atau menyesuaikan file sertifikat dengan mode file yang tepat. Anda dapat menjalankan perintah tersebut sebagai bagian dari tugas mulai yang ditingkatkan atau tugas persiapan pekerjaan.Bagaimana cara menginstal
.cerfile yang tidak berisi kunci privat?Key Vault tidak menganggap file-file ini memiliki hak istimewa karena tidak berisi informasi kunci privat. Anda dapat menginstal
.cerfile menggunakan salah satu metode berikut. Gunakan rahasia Key Vault dengan hak akses yang sesuai untuk Identitas Terkelola yang ditetapkan Pengguna terkait dan ambil.cerfile sebagai bagian dari tugas mulai Anda untuk diinstal. Atau, simpan.cerfile sebagai Azure Storage Blob dan referensi sebagai file sumber daya Batch dalam tugas mulai Anda untuk diinstal.Bagaimana cara mengakses sertifikat terinstal ekstensi Key Vault untuk identitas kumpulan autouser nonadmin tingkat tugas?
Autouser tingkat tugas dibuat sesuai permintaan dan tidak dapat ditentukan sebelumnya untuk menentukan ke
accountsdalam properti di ekstensi VM Key Vault. Anda akan memerlukan proses kustom yang mengekspor sertifikat yang diperlukan ke penyimpanan atau ACL yang umum diakses dengan tepat untuk akses oleh autouser tingkat tugas.Di mana saya dapat menemukan praktik terbaik untuk menggunakan Azure Key Vault?
Lihat Praktik terbaik Azure Key Vault.
Langkah berikutnya
Untuk informasi selengkapnya, lihat Kontrol akses sertifikat Key Vault. Untuk informasi selengkapnya tentang fungsionalitas Batch yang terkait dengan migrasi ini, lihat Ekstensi Azure Batch Pool dan Identitas Terkelola Kumpulan Azure Batch.