Używanie tożsamości zarządzanych na potrzeby testowania obciążenia platformy Azure

W tym artykule pokazano, jak utworzyć tożsamość zarządzaną na potrzeby testowania obciążenia platformy Azure. Tożsamość zarządzana umożliwia bezpieczne odczytywanie wpisów tajnych lub certyfikatów z usługi Azure Key Vault w teście obciążeniowym.

Tożsamość zarządzana z usługi Microsoft Entra ID umożliwia zasobowi testowania obciążenia łatwe uzyskiwanie dostępu do chronionej usługi Azure Key Vault przez firmę Microsoft Entra. Tożsamość jest zarządzana przez platformę Azure i nie wymaga zarządzania ani rotacji żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Microsoft Entra ID, zobacz Tożsamości zarządzane dla zasobów platformy Azure.

Usługa Azure Load Testing obsługuje dwa typy tożsamości:

• Tożsamość przypisana przez system jest skojarzona z zasobem testowania obciążenia i jest usuwana po usunięciu zasobu. Zasób może mieć tylko jedną tożsamość przypisaną przez system.
• Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do zasobu testowania obciążenia. Po usunięciu zasobu testowania obciążenia tożsamość zarządzana pozostaje dostępna. Do zasobu testowania obciążenia można przypisać wiele tożsamości przypisanych przez użytkownika.

Obecnie można używać tożsamości zarządzanej tylko do uzyskiwania dostępu do usługi Azure Key Vault.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
• Zasób testowania obciążenia platformy Azure. Jeśli musisz utworzyć zasób testowania obciążenia platformy Azure, zobacz Szybki start Tworzenie i uruchamianie testu obciążeniowego.
• Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, twoje konto wymaga przypisania roli Współautor tożsamości zarządzanej.

Przypisywanie tożsamości przypisanej przez system do zasobu testowania obciążenia

Aby przypisać tożsamość przypisaną przez system dla zasobu testowania obciążenia platformy Azure, włącz właściwość zasobu. Tę właściwość można ustawić przy użyciu witryny Azure Portal lub szablonu usługi Azure Resource Manager (ARM).

Portal

Aby skonfigurować tożsamość zarządzaną w portalu, należy najpierw utworzyć zasób testowania obciążenia platformy Azure, a następnie włączyć tę funkcję.

1. W witrynie Azure Portal przejdź do zasobu testowania obciążenia platformy Azure.

2. W lewym okienku wybierz Tożsamość.

3. Na karcie Przypisane przez system przełącz pozycję Stan na Wł., a następnie wybierz pozycję Zapisz.

   

4. W oknie potwierdzenia wybierz pozycję Tak , aby potwierdzić przypisanie tożsamości zarządzanej.

5. Po zakończeniu tej operacji strona zawiera identyfikator obiektu tożsamości zarządzanej i umożliwia przypisanie do niej uprawnień.

   

Interfejs wiersza polecenia platformy Azure

az load update Uruchom polecenie za pomocą polecenia , --identity-type SystemAssigned aby dodać tożsamość przypisaną przez system do zasobu testowania obciążenia:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Szablon usługi ARM

Szablon usługi ARM umożliwia zautomatyzowanie wdrażania zasobów platformy Azure. Aby uzyskać więcej informacji na temat używania szablonów usługi ARM z usługą Azure Load Testing, zobacz dokumentację referencyjną usługi Azure Load Testing ARM.

Tożsamość zarządzaną przypisaną przez system można przypisać podczas tworzenia zasobu typu Microsoft.LoadTestService/loadtests. identity Skonfiguruj właściwość z wartością SystemAssigned w definicji zasobu:

"identity": {
    "type": "SystemAssigned"
}

Dodając typ tożsamości przypisanej przez system, informujesz platformę Azure o utworzeniu tożsamości zasobu i zarządzaniu nią. Na przykład zasób testowania obciążenia platformy Azure może wyglądać następująco:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Po zakończeniu tworzenia zasobu dla zasobu są skonfigurowane następujące właściwości:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

Właściwość tenantId identyfikuje dzierżawę firmy Microsoft Entra, do której należy tożsamość zarządzana. Jest principalId to unikatowy identyfikator nowej tożsamości zasobu. W ramach identyfikatora Entra firmy Microsoft jednostka usługi ma taką samą nazwę jak zasób testowania obciążenia platformy Azure.

Przypisywanie tożsamości przypisanej przez użytkownika do zasobu testowania obciążenia

Przed dodaniem tożsamości zarządzanej przypisanej przez użytkownika do zasobu testowania obciążenia platformy Azure należy najpierw utworzyć tę tożsamość w usłudze Microsoft Entra ID. Następnie można przypisać tożsamość przy użyciu jego identyfikatora zasobu.

Do zasobu można dodać wiele tożsamości zarządzanych przypisanych przez użytkownika. Jeśli na przykład musisz uzyskać dostęp do wielu zasobów platformy Azure, możesz udzielić różnych uprawnień do każdej z tych tożsamości.

Portal

1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika, postępując zgodnie z instrukcjami wymienionymi w temacie Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

   

2. W witrynie Azure Portal przejdź do zasobu testowania obciążenia platformy Azure.

3. W lewym okienku wybierz Tożsamość.

4. Wybierz kartę Użytkownik przypisany , a następnie wybierz pozycję Dodaj.

5. Wyszukaj i wybierz wcześniej utworzoną tożsamość zarządzaną. Następnie wybierz pozycję Dodaj , aby dodać go do zasobu testowania obciążenia platformy Azure.

   

Interfejs wiersza polecenia platformy Azure

1. Utwórz tożsamość przypisaną przez użytkownika.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. az load update Uruchom polecenie z poleceniem , --identity-type UserAssigned aby dodać tożsamość przypisaną przez użytkownika do zasobu testowania obciążenia:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

Szablon usługi ARM

Zasób testowania obciążenia platformy Azure można utworzyć przy użyciu szablonu usługi ARM i typu Microsoft.LoadTestService/loadtestszasobu . Aby uzyskać więcej informacji na temat używania szablonów usługi ARM z usługą Azure Load Testing, zobacz dokumentację referencyjną usługi Azure Load Testing ARM.

1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika, postępując zgodnie z instrukcjami wymienionymi w temacie Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

2. Określ tożsamość zarządzaną przypisaną przez użytkownika w identity sekcji definicji zasobu.

   Zastąp <RESOURCEID> symbol zastępczy tekst identyfikatorem zasobu tożsamości przypisanej przez użytkownika:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   Poniższy fragment kodu przedstawia przykład definicji zasobu usługi ARM testowania obciążenia platformy Azure z tożsamością przypisaną przez użytkownika:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Po utworzeniu zasobu testowania obciążenia platforma Azure udostępnia principalId właściwości i clientId w danych wyjściowych:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   Jest principalId to unikatowy identyfikator tożsamości używanej do administrowania firmą Microsoft Entra. Jest clientId to unikatowy identyfikator nowej tożsamości zasobu używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Konfigurowanie zasobu docelowego

Może być konieczne skonfigurowanie zasobu docelowego, aby zezwolić na dostęp z zasobu testowania obciążenia. Jeśli na przykład odczytujesz wpis tajny lub certyfikat z usługi Azure Key Vault lub jeśli używasz kluczy zarządzanych przez klienta do szyfrowania, musisz również dodać zasady dostępu, które obejmują tożsamość zarządzaną zasobu. W przeciwnym razie wywołania usługi Azure Key Vault są odrzucane, nawet jeśli używasz prawidłowego tokenu.

Powiązana zawartość

• Używanie wpisów tajnych lub certyfikatów w teście obciążeniowym
• Konfigurowanie kluczy zarządzanych przez klienta na potrzeby szyfrowania
• Co to są tożsamości zarządzane dla zasobów platformy Azure?