Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa guida illustra in dettaglio come configurare un cluster per la distribuzione usando un URI (Uniform Resource Identifier) di Key Vault anziché una password in testo non crittografato. Questa credenziale viene usata durante la creazione o l'aggiornamento di un cluster Operatore di Azure e deve essere archiviata in un insieme di credenziali delle chiavi separato da quello configurato in --secret-archive-settings. Questa separazione consente di garantire l'accesso con privilegi minimi ai segreti nel secret-archive-settings Key Vault. L'URI del Key Vault viene usato per la distribuzione del cluster. Dopo la distribuzione del cluster, la rotazione automatica delle credenziali gestisce la rotazione della password.
Questo URI di Key Vault viene usato per recuperare il valore della password dal Key Vault specificato come operazione singola. Dopo aver recuperato questo valore della password, l'URI non viene più usato e la password viene archiviata in modo sicuro nel cluster.
URI di Key Vault e password non crittografata
L'uso di un URI dell'insieme di credenziali delle chiavi anziché una password garantisce maggiore sicurezza evitando il problema di usare un valore di testo non crittografato. Il valore dell'URI non viene utilizzato una volta completate le azioni di creazione/aggiornamento del cluster e sostituzione del computer bare metal.
Annotazioni
Questa funzionalità è supportata per la creazione e l'aggiornamento del cluster come parte della versione 2506.2. È prevista una versione successiva per rimuovere il supporto per l'uso di password in testo non crittografato.
Assegnazione di ruolo
All'identità gestita specificata nel campo --secret-archive-settings deve essere assegnato al ruolo Key Vault Secrets User nel key vault che contiene la password. Per la distribuzione, è consigliabile l'uso di un Key Vault separato per questo segreto della password anziché usare lo stesso Key Vault definito in --secret-archive-settings. L'assegnazione di ruolo è necessaria in modo che il cluster possa recuperare il valore della password dal valore URI a cui si fa riferimento. L'assegnazione Key Vault Secrets User di ruolo è diversa da Operator Nexus Key Vault Writer Service Role, necessaria per la rotazione automatica delle credenziali.
Per altre informazioni su --secret-archive-settings, vedere Supporto del cluster per le identità gestite.
Configurazione per il controller di gestione di base (BMC) e l'appliance di archiviazione
Quando viene distribuito un cluster, vengono fornite più password come parte dei dati di configurazione. A partire dalla versione 2506.2, è stata introdotta la possibilità di passare un valore di riferimento URI anziché una password di testo non crittografato.
In questi esempi, KEY_VAULT_NAME è il nome dell'insieme di credenziali delle chiavi e SECRET_NAME è il nome del segreto. Se sono presenti più versioni di un segreto, è VERSION possibile aggiungere per specificare che deve essere usata la versione specifica.
Password del controller di gestione di base
"bareMetalMachineConfigurationData":
[
{
"bmcCredentials":
{
"username": "$BMC_USERNAME",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION",
},
},
]
Password dell'appliance di archiviazione
"storageApplianceConfigurationData":
[
{
"adminCredentials":
{
"username": "pureuser",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION",
},
},
]
Sostituzione della macchina Bare Metal
Questo URI dell'insieme di credenziali delle chiavi può essere fornito anche per il valore della password durante l'esecuzione di una sostituzione di una macchina bare metal: Sostituire una Macchina Bare Metal. Per il funzionamento di questa funzionalità è necessaria la stessa assegnazione di ruolo .