Использование управляемых удостоверений для Нагрузочного тестирования Azure

В этой статье показано, как создать управляемое удостоверение для нагрузочного тестирования Azure. Управляемое удостоверение можно использовать для безопасного чтения секретов или сертификатов из Azure Key Vault в нагрузочном тесте.

Управляемое удостоверение из идентификатора Microsoft Entra позволяет ресурсу нагрузочного тестирования легко получить доступ к Microsoft Entra protected Azure Key Vault. Удостоверение управляется платформой Azure и не требует управления или смены секретов. Дополнительные сведения об управляемых удостоверениях в идентификаторе Microsoft Entra см. в разделе "Управляемые удостоверения" для ресурсов Azure.

Нагрузочное тестирование Azure поддерживает два типа удостоверений:

• Удостоверение , назначаемое системой, связано с ресурсом нагрузочного тестирования и удаляется при удалении ресурса. Ресурс может иметь только одно удостоверение, назначаемое системой.
• Назначаемое пользователем удостоверение — это автономный ресурс Azure, который можно назначить ресурсу нагрузочного тестирования. При удалении ресурса нагрузочного тестирования управляемое удостоверение остается доступным. Вы можете назначить несколько назначаемых пользователем удостоверений ресурсу нагрузочного тестирования.

В настоящее время для доступа к Azure Key Vault можно использовать только управляемое удостоверение.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
• Ресурс нагрузочного тестирования Azure. Если вам нужно создать ресурс нагрузочного тестирования Azure, ознакомьтесь с кратким руководством по созданию и запуску нагрузочного теста.
• Чтобы создать назначаемое пользователем управляемое удостоверение, учетной записи должна быть назначена роль участника управляемого удостоверения.

Назначение назначаемого системой удостоверения ресурсу нагрузочного тестирования

Чтобы назначить назначаемое системой удостоверение для ресурса нагрузочного тестирования Azure, включите свойство ресурса. Это свойство можно задать с помощью портал Azure или с помощью шаблона Azure Resource Manager (ARM).

Портал

Чтобы настроить управляемое удостоверение на портале, сначала создайте ресурс нагрузочного тестирования Azure, а затем включите эту функцию.

1. В портал Azure перейдите к ресурсу нагрузочного тестирования Azure.

2. На левой панели выберите "Удостоверение".

3. На вкладке "Назначаемая системой" переключитесь на "Состояние включено", а затем нажмите кнопку "Сохранить".

   

4. В окне подтверждения выберите "Да ", чтобы подтвердить назначение управляемого удостоверения.

5. После завершения этой операции на странице отображается идентификатор объекта управляемого удостоверения и позволяет назначить ему разрешения.

   

Azure CLI

az load update Выполните команду, --identity-type SystemAssigned чтобы добавить удостоверение, назначаемое системой, в ресурс нагрузочного тестирования:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Шаблон ARM

Шаблон ARM можно использовать для автоматизации развертывания ресурсов Azure. Дополнительные сведения об использовании шаблонов ARM с нагрузочным тестированием Azure см. в справочной документации по Azure Load Testing ARM.

Управляемое удостоверение, назначаемое системой, можно назначить при создании ресурса типа Microsoft.LoadTestService/loadtests. identity Настройте свойство со значением SystemAssigned в определении ресурса:

"identity": {
    "type": "SystemAssigned"
}

Добавив тип удостоверения, назначаемого системой, вы сообщаете Azure создать удостоверение для ресурса и управлять им. Например, ресурс нагрузочного тестирования Azure может выглядеть следующим образом:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

После завершения создания ресурса для ресурса настраиваются следующие свойства:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

Свойство tenantId определяет, к какой клиенту Microsoft Entra принадлежит управляемое удостоверение. Это principalId уникальный идентификатор для нового удостоверения ресурса. В идентификаторе Microsoft Entra субъект-служба имеет то же имя, что и ресурс нагрузочного тестирования Azure.

Назначение назначаемого пользователем удостоверения ресурсу нагрузочного тестирования

Прежде чем добавить управляемое удостоверение, назначаемое пользователем, в ресурс нагрузочного тестирования Azure необходимо сначала создать это удостоверение в идентификаторе Microsoft Entra. Затем вы можете назначить удостоверение с помощью его идентификатора ресурса.

В ресурс можно добавить несколько управляемых удостоверений, назначаемых пользователем. Например, если вам нужно получить доступ к нескольким ресурсам Azure, вы можете предоставить разные разрешения каждому из этих удостоверений.

Портал

1. Создайте управляемое удостоверение, назначаемое пользователем, следуя инструкциям, упоминание в разделе "Создание управляемого удостоверения, назначаемого пользователем".

   

2. В портал Azure перейдите к ресурсу нагрузочного тестирования Azure.

3. На левой панели выберите "Удостоверение".

4. Перейдите на вкладку "Назначенный пользователем" и нажмите кнопку "Добавить".

5. Выполните поиск и выберите созданное ранее управляемое удостоверение. Затем нажмите кнопку "Добавить ", чтобы добавить ее в ресурс нагрузочного тестирования Azure.

   

Azure CLI

1. Создайте удостоверение, назначаемое пользователем.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. az load update Выполните команду, --identity-type UserAssigned чтобы добавить удостоверение, назначаемое пользователем, в ресурс нагрузочного тестирования:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

Шаблон ARM

Ресурс нагрузочного тестирования Azure можно создать с помощью шаблона ARM и типа Microsoft.LoadTestService/loadtestsресурса. Дополнительные сведения об использовании шаблонов ARM с нагрузочным тестированием Azure см. в справочной документации по Azure Load Testing ARM.

1. Создайте управляемое удостоверение, назначаемое пользователем, следуя инструкциям, упоминание в разделе "Создание управляемого удостоверения, назначаемого пользователем".

2. Укажите управляемое удостоверение, назначаемое пользователем, в identity разделе определения ресурса.

   Замените <RESOURCEID> заполнитель текста идентификатором ресурса назначаемого пользователем удостоверения:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   В следующем фрагменте кода показан пример определения ресурса ARM нагрузочного тестирования Azure с удостоверением, назначенным пользователем:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   После создания ресурса нагрузочного тестирования Azure предоставляет principalId выходные данные и clientId свойства:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   Это principalId уникальный идентификатор удостоверения, используемого для администрирования Microsoft Entra. Это clientId уникальный идентификатор нового удостоверения ресурса, используемого для указания удостоверения, используемого для указания удостоверения, используемого во время вызовов среды выполнения.

Настройка целевого ресурса

Возможно, потребуется настроить целевой ресурс, чтобы разрешить доступ из ресурса нагрузочного тестирования. Например, если вы читаете секрет или сертификат из Azure Key Vault или используете ключи, управляемые клиентом для шифрования, необходимо также добавить политику доступа, содержащую управляемое удостоверение ресурса. В противном случае вызовы к Azure Key Vault отклоняются, даже если используется допустимый маркер.

Связанный контент

• Использование секретов или сертификатов в нагрузочном тесте
• Настройка управляемых клиентом ключей для шифрования
• Что такое управляемые удостоверения для ресурсов Azure?