Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este guia detalha como configurar um Cluster para implantação usando um URI (Identificador de Recurso Uniforme) do Key Vault em vez de uma senha de texto sem formatação. Essa credencial é usada ao criar ou atualizar um cluster do Operador do Azure e pode estar localizada no mesmo cofre de chaves configurado em ou em --secret-archive-settings um cofre de chaves separado. O URI do cofre de chaves é utilizado para implantar o cluster. Depois que o cluster é implantado, a rotação automática de credenciais gerencia a troca da senha.
Esse URI do Key Vault é usado para recuperar o valor da senha do Key Vault especificado como uma operação única. Depois que esse valor de senha é recuperado, o URI não é mais usado e a senha é armazenada com segurança no cluster.
URI do Key Vault vs. Senha em texto simples
Usar um URI do cofre de chaves em vez de uma senha proporciona segurança adicional, evitando o uso de valores em texto simples. O valor do URI não é usado após a conclusão das Ações de Criação/Atualização de Cluster e Substituição de Computador Bare Metal.
Observação
Esse recurso tem suporte para criação e atualização de cluster como parte da versão 2506.2. Uma versão posterior é planejada para remover o suporte para o uso de senhas de texto sem formatação.
Atribuição de função
A identidade gerenciada especificada no campo --secret-archive-settings precisa ser atribuída à função Key Vault Secrets User no cofre de chaves que contém a senha. A atribuição de função é necessária para que o cluster possa recuperar o valor da senha do valor de URI referenciado. A atribuição de função Key Vault Secrets User é diferente de Operator Nexus Key Vault Writer Service Role, que é necessária para a rotação automática de credenciais.
Para obter mais informações sobre --secret-archive-settings, consulte o suporte de cluster para identidades gerenciadas.
Configuração do BMC (Controlador de Gerenciamento base) e do dispositivo de armazenamento
Quando um cluster é implantado, várias senhas são fornecidas como parte dos dados de configuração. A partir da versão 2506.2, a capacidade de passar um valor de referência de URI em vez de uma senha de texto sem formatação foi introduzida.
Nesses exemplos, o KEY_VAULT_NAME é o nome do cofre de chaves e o SECRET_NAME é o nome do segredo. Se houver várias versões de um segredo, poderá VERSION ser acrescentado para especificar que uma versão específica deve ser usada.
Senha do Controlador de Gerenciamento de Base
"bareMetalMachineConfigurationData": [
{
"bmcCredentials": {
"username": "$BMC_USERNAME",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION"
},
}
]
Senha do dispositivo de armazenamento
"storageApplianceConfigurationData": [
{
"adminCredentials": {
"username": "pureuser",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION"
},
}
]
Substituição de Computador Bare Metal
Esse URI do cofre de chaves também pode ser fornecido para o valor da senha ao substituir um computador bare metal: Substituir um Computador Bare Metal. A mesma Atribuição de Função é necessária para que essa funcionalidade funcione.