Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym przewodniku opisano sposób konfigurowania klastra na potrzeby wdrażania przy użyciu identyfikatora URI (Uniform Resource Identifier) usługi Key Vault zamiast hasła w postaci zwykłego tekstu. To poświadczenie jest używane podczas tworzenia lub aktualizowania klastra operatorów platformy Azure i może znajdować się w tym samym magazynie kluczy skonfigurowanym w --secret-archive-settings lub w oddzielnym magazynie kluczy. Identyfikator URI magazynu kluczy służy do wdrażania klastra. Po wdrożeniu klastra automatyczna rotacja poświadczeń obsługuje rotację hasła.
Ten identyfikator URI usługi Key Vault służy do pobierania wartości hasła z określonej usługi Key Vault jako jednorazowej operacji. Po pobraniu tej wartości hasła identyfikator URI nie jest już używany, a hasło jest bezpiecznie przechowywane w klastrze.
Identyfikator URI usługi Key Vault a hasło w postaci zwykłego tekstu
Użycie identyfikatora URI magazynu kluczy zamiast hasła zapewnia dodatkowe zabezpieczenia, ponieważ unika się problemu z używaniem wartości w postaci zwykłego tekstu. Wartość URI nie jest używana po zakończeniu akcji tworzenia/aktualizowania klastra oraz zastępowania maszyn typu bare metal.
Uwaga / Notatka
Ta funkcja jest obsługiwana w przypadku tworzenia i aktualizowania klastra w ramach wersji 2506.2. Planowana jest późniejsza wersja, aby usunąć obsługę używania haseł w postaci zwykłego tekstu.
Przypisanie roli
Tożsamość zarządzana określona w polu --secret-archive-settings musi mieć przypisaną rolę Key Vault Secrets User w magazynie kluczy zawierającym hasło. Przypisanie roli jest wymagane, aby klaster mógł pobrać wartość hasła z przywołynej wartości identyfikatora URI. Przypisanie Key Vault Secrets User roli jest inne niż Operator Nexus Key Vault Writer Service Role, co jest wymagane w przypadku automatycznej rotacji poświadczeń.
Aby uzyskać więcej informacji na temat --secret-archive-settings, zobacz Wsparcie klastra dla tożsamości zarządzanych.
Konfiguracja podstawowego kontrolera zarządzania (BMC) i urządzenia magazynu
Po wdrożeniu klastra wiele haseł jest udostępnianych jako część danych konfiguracji. Od wersji 2506.2 wprowadzono możliwość przekazania wartości referencyjnej identyfikatora URI zamiast hasła w postaci zwykłego tekstu.
W tych przykładach KEY_VAULT_NAME to nazwa magazynu kluczy, a SECRET_NAME to nazwa tajemnicy. Jeśli istnieje wiele wersji wpisu tajnego, można dołączyć element VERSION w celu określenia określonej wersji.
Hasło podstawowego kontrolera zarządzania
"bareMetalMachineConfigurationData": [
{
"bmcCredentials": {
"username": "$BMC_USERNAME",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION"
},
}
]
Hasło urządzenia pamięci masowej
"storageApplianceConfigurationData": [
{
"adminCredentials": {
"username": "pureuser",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION"
},
}
]
Wymiana maszyny typu bare metal
Ten identyfikator URI magazynu kluczy można również podać dla wartości hasła podczas zastępowania maszyny typu bare-metal: Zastąp maszynę typu bare-metal. Aby ta funkcja działała, potrzebne jest to samo przypisanie roli .