Udostępnij za pośrednictwem

Migrowanie certyfikatów konta usługi Batch do usługi Azure Key Vault

  • Artykuł

29 lutego 2024 r. funkcja certyfikatów konta usługi Azure Batch zostanie wycofana. Dowiedz się, jak migrować certyfikaty na kontach usługi Azure Batch przy użyciu usługi Azure Key Vault w tym artykule.

Informacje o funkcji

Certyfikaty są często wymagane w różnych scenariuszach, takich jak odszyfrowywanie wpisu tajnego, zabezpieczanie kanałów komunikacyjnych lub uzyskiwanie dostępu do innej usługi. Obecnie usługa Azure Batch oferuje dwa sposoby zarządzania certyfikatami w pulach usługi Batch. Możesz dodać certyfikaty do konta usługi Batch lub użyć rozszerzenia maszyny wirtualnej usługi Azure Key Vault do zarządzania certyfikatami w pulach usługi Batch. Tylko funkcje certyfikatu na koncie usługi Azure Batch i funkcje, które rozszerzają na pule usługi Batch za pomocą polecenia CertificateReferenceDodaj pulę, pulę poprawek, właściwości aktualizacji i odpowiednie odwołania do interfejsów API pobierania i puli list są wycofywane. Ponadto w przypadku pul systemu Linux zmienna środowiskowa $AZ_BATCH_CERTIFICATES_DIR nie zostanie już zdefiniowana i wypełniona.

Koniec wsparcia funkcji

Usługa Azure Key Vault jest standardowym, zalecanym mechanizmem przechowywania i uzyskiwania bezpiecznego dostępu do wpisów tajnych i certyfikatów na platformie Azure. W związku z tym 29 lutego 2024 r. wycofamy funkcję certyfikatów konta usługi Batch w usłudze Azure Batch. Alternatywą jest użycie rozszerzenia maszyny wirtualnej usługi Azure Key Vault i tożsamości zarządzanej przypisanej przez użytkownika w puli w celu bezpiecznego uzyskiwania dostępu do i instalowania certyfikatów w pulach usługi Batch.

Po wycofaniu funkcji certyfikatów w usłudze Azure Batch 29 lutego 2024 r. certyfikat w usłudze Batch nie będzie działać zgodnie z oczekiwaniami. Po tej dacie nie będzie już można dodawać certyfikatów do konta usługi Batch ani łączyć tych certyfikatów z pulami usługi Batch. Pule, które nadal korzystają z tej funkcji po tej dacie, mogą nie zachowywać się zgodnie z oczekiwaniami, takimi jak aktualizowanie odwołań do certyfikatów lub możliwość instalowania istniejących odwołań do certyfikatów.

Alternatywa: użyj rozszerzenia maszyny wirtualnej usługi Azure Key Vault z tożsamością zarządzaną przypisaną przez użytkownika puli

Azure Key Vault to w pełni zarządzana usługa platformy Azure, która zapewnia kontrolowany dostęp do przechowywania wpisów tajnych, certyfikatów, tokenów i kluczy oraz zarządzania nimi. Usługa Key Vault zapewnia zabezpieczenia w warstwie transportu, zapewniając szyfrowanie dowolnego przepływu danych z magazynu kluczy do aplikacji klienckiej. Usługa Azure Key Vault zapewnia bezpieczny sposób przechowywania podstawowych informacji o dostępie i ustawiania szczegółowej kontroli dostępu. Wszystkie wpisy tajne można zarządzać za pomocą jednego pulpitu nawigacyjnego. Wybierz przechowywanie klucza w modułach zabezpieczeń sprzętowych (HSM) chronionych przez oprogramowanie lub sprzętowych. Możesz również ustawić usługę Key Vault tak, aby autoryzować certyfikaty.

Aby uzyskać pełny przewodnik dotyczący włączania rozszerzenia maszyny wirtualnej usługi Azure Key Vault z przypisaną przez użytkownika tożsamością zarządzaną puli, zobacz Włączanie automatycznego obracania certyfikatów w puli usługi Batch.

— często zadawane pytania

  • Czy CloudServiceConfiguration pule obsługują rozszerzenie maszyny wirtualnej usługi Azure Key Vault i tożsamość zarządzaną w pulach?

    L.p. CloudServiceConfiguration Pule zostaną wycofane w tej samej dacie co wycofanie certyfikatu konta usługi Azure Batch 29 lutego 2024 r. Zalecamy przeprowadzenie migracji do VirtualMachineConfiguration pul przed tą datą, w której można używać tych rozwiązań.

  • Czy konta usługi Batch puli subskrypcji użytkownika obsługują usługę Azure Key Vault?

    Tak. Możesz użyć tej samej usługi Key Vault, jak określono w ramach konta usługi Batch, co do użycia z pulami, ale magazyn Key Vault używany do obsługi certyfikatów dla pul usługi Batch może być całkowicie oddzielony.

  • Czy pule systemu Linux i Windows Batch są obsługiwane z rozszerzeniem maszyny wirtualnej usługi Key Vault?

    Tak. Zapoznaj się z dokumentacją systemów Windows i Linux.

  • Czy można zaktualizować istniejące pule za pomocą rozszerzenia maszyny wirtualnej usługi Key Vault?

    Nie, te właściwości nie można aktualizować w puli. Należy ponownie utworzyć pule.

  • Jak mogę uzyskać odwołania do certyfikatów w pulach usługi Batch systemu Linux, ponieważ $AZ_BATCH_CERTIFICATES_DIR zostaną usunięte?

    Rozszerzenie maszyny wirtualnej usługi Key Vault dla systemu Linux umożliwia określenie certificateStoreLocationwartości , która jest ścieżką bezwzględną do miejsca przechowywania certyfikatu. Rozszerzenie maszyny wirtualnej usługi Key Vault będzie określać zakres certyfikatów zainstalowanych w określonej lokalizacji tylko z uprawnieniami administratora (głównego). Należy upewnić się, że zadania podrzędne są uruchamiane z podwyższonym poziomem uprawnień, aby uzyskać dostęp do tych certyfikatów domyślnie, lub skopiować certyfikaty do dostępnego bezpośrednio i/lub dostosować pliki certyfikatów przy użyciu odpowiednich trybów plików. Można uruchamiać takie polecenia w ramach zadania uruchamiania z podwyższonym poziomem uprawnień lub zadania przygotowania zadania.

  • Jak mogę instalować .cer pliki, które nie zawierają kluczy prywatnych?

    Usługa Key Vault nie uznaje tych plików za uprzywilejowane, ponieważ nie zawierają informacji o kluczu prywatnym. Pliki można zainstalować .cer przy użyciu jednej z następujących metod. Użyj wpisów tajnych usługi Key Vault z odpowiednimi uprawnieniami dostępu dla skojarzonej tożsamości zarządzanej przypisanej przez użytkownika i pobierz .cer plik w ramach zadania uruchamiania do zainstalowania. Możesz też przechowywać .cer plik jako obiekt blob usługi Azure Storage i odwoływać się do pliku zasobu usługi Batch w zadaniu uruchamiania do zainstalowania.

  • Jak mogę uzyskać dostęp do rozszerzenia usługi Key Vault zainstalowane certyfikaty dla tożsamości puli automatycznego użytkownika na poziomie zadania?

    Autoużytkownicy na poziomie zadania są tworzone na żądanie i nie można wstępnie określić właściwości accounts w rozszerzeniu maszyny wirtualnej usługi Key Vault. Potrzebny będzie niestandardowy proces, który eksportuje wymagany certyfikat do powszechnie dostępnego magazynu lub list ACL odpowiednio w celu uzyskania dostępu przez autoużytkowników na poziomie zadania.

  • Gdzie można znaleźć najlepsze rozwiązania dotyczące korzystania z usługi Azure Key Vault?

    Zobacz Najlepsze rozwiązania dotyczące usługi Azure Key Vault.

Następne kroki

Aby uzyskać więcej informacji, zobacz Kontrola dostępu do certyfikatów usługi Key Vault. Aby uzyskać więcej informacji na temat funkcji usługi Batch związanych z tą migracją, zobacz Rozszerzenia puli usługi Azure Batch i tożsamość zarządzana puli usługi Azure Batch.