Używanie tożsamości zarządzanych na potrzeby testowania obciążenia platformy Azure

W tym artykule pokazano, jak utworzyć tożsamość zarządzaną na potrzeby testowania obciążenia platformy Azure. Za pomocą tożsamości zarządzanej można uwierzytelniać się i odczytywać wpisy tajne z usługi Azure Key Vault.

Tożsamość zarządzana z usługi Azure Active Directory (Azure AD) umożliwia zasobom testowania obciążenia łatwe uzyskiwanie dostępu do innych zasobów chronionych Azure AD, takich jak azure Key Vault. Tożsamość jest zarządzana przez platformę Azure i nie wymaga zarządzania wpisami tajnymi ani obracania ich. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w Azure AD, zobacz Tożsamości zarządzane dla zasobów platformy Azure.

Usługa Azure Load Testing obsługuje dwa typy tożsamości:

• Tożsamość przypisana przez system jest skojarzona z zasobem testowania obciążenia i jest usuwana po usunięciu zasobu. Zasób może mieć tylko jedną tożsamość przypisaną przez system.
• Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do zasobu testowania obciążenia. Po usunięciu zasobu testowania obciążenia tożsamość zarządzana pozostaje dostępna. Do zasobu testowania obciążenia można przypisać wiele tożsamości przypisanych przez użytkownika.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
• Zasób testowania obciążenia platformy Azure. Jeśli musisz utworzyć zasób testowania obciążenia platformy Azure, zobacz przewodnik Szybki start Tworzenie i uruchamianie testu obciążeniowego.
• Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, twoje konto wymaga przypisania roli Współautor tożsamości zarządzanej .

Przypisywanie tożsamości przypisanej przez system do zasobu testowania obciążenia

Aby przypisać tożsamość przypisaną przez system dla zasobu testowania obciążenia platformy Azure, włącz właściwość zasobu. Tę właściwość można ustawić przy użyciu Azure Portal lub szablonu usługi Azure Resource Manager (ARM).

Portal

Aby skonfigurować tożsamość zarządzaną w portalu, należy najpierw utworzyć zasób testowania obciążenia platformy Azure, a następnie włączyć tę funkcję.

1. W Azure Portal przejdź do zasobu testowania obciążenia platformy Azure.

2. W okienku po lewej stronie wybierz pozycję Tożsamość.

3. Wybierz kartę Przypisane przez system .

4. Przełącz stan na Wł., a następnie wybierz pozycję Zapisz.

   

5. W oknie potwierdzenia wybierz pozycję Tak , aby potwierdzić przypisanie tożsamości zarządzanej.

6. Po zakończeniu przypisywania tożsamości zarządzanej na stronie zostanie wyświetlony identyfikator obiektu tożsamości zarządzanej i umożliwi ci przypisanie do niej uprawnień.

   

Teraz możesz udzielić dostępu do zasobu testowania obciążenia do magazynu kluczy platformy Azure.

Szablon usługi ARM

Szablon usługi ARM umożliwia zautomatyzowanie wdrażania zasobów platformy Azure. Aby uzyskać więcej informacji na temat używania szablonów usługi ARM z usługą Azure Load Testing, zobacz dokumentację referencyjną usługi Azure Load Testing ARM.

Tożsamość zarządzaną przypisaną przez system można przypisać podczas tworzenia zasobu typu Microsoft.LoadTestService/loadtests. identity Skonfiguruj właściwość z wartością SystemAssigned w definicji zasobu:

"identity": {
    "type": "SystemAssigned"
}

Dodając typ tożsamości przypisanej przez system, informujesz platformę Azure o utworzeniu tożsamości zasobu i zarządzaniu nią. Na przykład zasób testowania obciążenia platformy Azure może wyglądać następująco:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Po zakończeniu tworzenia zasobu zostaną skonfigurowane następujące właściwości dla zasobu:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

Właściwość tenantId określa, do której dzierżawy Azure AD należy tożsamość zarządzana. Jest principalId to unikatowy identyfikator nowej tożsamości zasobu. W Azure AD jednostka usługi ma taką samą nazwę jak zasób testowania obciążenia platformy Azure.

Teraz możesz udzielić dostępu do zasobu testowania obciążenia do magazynu kluczy platformy Azure.

Przypisywanie tożsamości przypisanej przez użytkownika do zasobu testowania obciążenia

Przed dodaniem tożsamości zarządzanej przypisanej przez użytkownika do zasobu testowania obciążenia platformy Azure należy najpierw utworzyć tę tożsamość w Azure AD. Następnie można przypisać tożsamość przy użyciu jego identyfikatora zasobu.

Do zasobu można dodać wiele tożsamości zarządzanych przypisanych przez użytkownika. Jeśli na przykład potrzebujesz dostępu do wielu zasobów platformy Azure, możesz przyznać różne uprawnienia do każdej z tych tożsamości.

Portal

1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika, postępując zgodnie z instrukcjami wymienionymi w temacie Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

   

2. W Azure Portal przejdź do zasobu testowania obciążenia platformy Azure.

3. W okienku po lewej stronie wybierz pozycję Tożsamość.

4. Wybierz kartę Przypisano użytkownika , a następnie wybierz pozycję Dodaj.

5. Wyszukaj i wybierz wcześniej utworzoną tożsamość zarządzaną. Następnie wybierz pozycję Dodaj , aby dodać go do zasobu testowania obciążenia platformy Azure.

   

Teraz możesz udzielić dostępu do zasobu testowania obciążenia do magazynu kluczy platformy Azure.

Szablon usługi ARM

Zasób testowania obciążenia platformy Azure można utworzyć przy użyciu szablonu usługi ARM i typu Microsoft.LoadTestService/loadtestszasobu . Aby uzyskać więcej informacji na temat używania szablonów usługi ARM z usługą Azure Load Testing, zobacz dokumentację referencyjną usługi Azure Load Testing ARM.

1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika, postępując zgodnie z instrukcjami wymienionymi w temacie Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

2. Określ tożsamość zarządzaną przypisaną przez użytkownika w identity sekcji definicji zasobu.

   Zastąp <RESOURCEID> symbol zastępczy tekst identyfikatorem zasobu tożsamości przypisanej przez użytkownika:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   Poniższy fragment kodu przedstawia przykład definicji zasobu usługi ARM testowania obciążenia platformy Azure z tożsamością przypisaną przez użytkownika:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Po utworzeniu zasobu testowania obciążenia platforma Azure udostępnia principalId właściwości i clientId w danych wyjściowych:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   Jest principalId to unikatowy identyfikator tożsamości używanej do Azure AD administracji. Jest clientId to unikatowy identyfikator nowej tożsamości zasobu używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Teraz możesz udzielić dostępu do zasobu testowania obciążenia do magazynu kluczy platformy Azure.

Udzielanie dostępu do magazynu kluczy platformy Azure

Korzystając z tożsamości zarządzanych dla zasobów platformy Azure, zasób testowania obciążenia platformy Azure może uzyskiwać dostęp do tokenów, które umożliwiają uwierzytelnianie w magazynie kluczy platformy Azure. Udziel dostępu tożsamości zarządzanej, przypisując odpowiednią rolę do tożsamości zarządzanej.

Aby przyznać zasobowi testowania obciążenia platformy Azure uprawnienia do odczytywania wpisów tajnych z magazynu kluczy platformy Azure:

1. W Azure Portal przejdź do zasobu usługi Azure Key Vault.

   Jeśli nie masz magazynu kluczy, postępuj zgodnie z instrukcjami w przewodniku Szybki start usługi Azure Key Vault, aby je utworzyć.

2. W okienku po lewej stronie w obszarze Ustawienia wybierz pozycję Zasady dostępu, a następnie dodaj zasady dostępu.

3. Z listy rozwijanej Uprawnienia wpisu tajnego wybierz pozycję Pobierz.

   

4. Wybierz pozycję Wybierz podmiot zabezpieczeń, a następnie wybierz jednostkę przypisaną przez system lub przypisaną przez użytkownika dla zasobu testowania obciążenia platformy Azure.

   Jeśli używasz tożsamości zarządzanej przypisanej przez system, nazwa jest zgodna z nazwą zasobu testowania obciążenia platformy Azure.

5. Wybierz pozycję Dodaj.

Teraz udzielono ci dostępu do zasobu testowania obciążenia platformy Azure w celu odczytania wartości wpisów tajnych z usługi Azure Key Vault.

Następne kroki

• Dowiedz się, jak sparametryzować test obciążeniowy przy użyciu wpisów tajnych.
• Dowiedz się, jak zarządzać użytkownikami i rolami w usłudze Azure Load Testing.
• Co to są tożsamości zarządzane dla zasobów platformy Azure?