Поделиться через

Управление секретами для развертывания Azure IoT Operations Preview

  • Статья

Внимание

Предварительная версия операций Интернета вещей Azure, включенная Azure Arc в настоящее время в предварительной версии. Не следует использовать это программное обеспечение предварительной версии в рабочих средах.

Вам потребуется развернуть новую установку Операций Интернета вещей Azure, когда общедоступная версия станет доступной. Вы не сможете обновить предварительную установку.

Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Операции Azure IoT используют Azure Key Vault в качестве решения управляемого хранилища в облаке и используют расширение Хранилища секретов Azure Key Vault для Kubernetes для синхронизации секретов из облака и хранения их в пограничном хранилище как секреты Kubernetes .

Необходимые компоненты

  • Экземпляр операций Интернета вещей Azure, развернутый с безопасными параметрами. Если вы развернули операции Интернета вещей Azure с параметрами тестирования и теперь хотите использовать секреты, необходимо сначала включить безопасные параметры.

  • Для создания секретов в хранилище ключей требуются разрешения офицера секретов на уровне ресурса. Сведения о назначении ролей пользователям см. в статье "Действия по назначению роли Azure".

Добавление и использование секретов

Управление секретами для операций Интернета вещей Azure использует расширение Secret Store для синхронизации секретов из Azure Key Vault и хранения их на границе как секреты Kubernetes. Если вы включили безопасные параметры во время развертывания, вы выбрали Azure Key Vault для управления секретами. В этом хранилище ключей хранятся все секреты, используемые в операциях Интернета вещей Azure.

Примечание.

Экземпляры операций Интернета вещей Azure работают только с одним Azure Key Vault, несколько хранилищ ключей на экземпляр не поддерживаются.

После завершения действий по управлению секретами установки можно начать добавление секретов в Azure Key Vault и синхронизировать их с пограничным интерфейсом, который будет использоваться в конечных точках активов или конечных точках потока данных с помощью веб-интерфейса взаимодействия с операциями.

Секреты используются в конечных точках активов и конечных точках потока данных для проверки подлинности. В этом разделе мы используем конечные точки активов в качестве примера, то же самое можно применить к конечным точкам потока данных. Вы можете напрямую создать секрет в Azure Key Vault и автоматически синхронизировать его вниз по краю или использовать существующую ссылку секрета из хранилища ключей:

Снимок экрана: добавление из Azure Key Vault и создание новых параметров при выборе секрета в операциях.

  • Создайте новый секрет: создает ссылку на секрет в Azure Key Vault, а также автоматически синхронизирует секрет вниз по краю с помощью расширения Secret Store. Используйте этот параметр, если вы не создали секрет, который требуется для этого сценария, в хранилище ключей заранее.

  • Добавьте из Azure Key Vault: синхронизирует существующий секрет в хранилище ключей вниз по краю, если он не был синхронизирован раньше. При выборе этого параметра отображается список секретных ссылок в выбранном хранилище ключей. Используйте этот параметр, если вы создали секрет в хранилище ключей заранее.

При добавлении ссылок на имя пользователя и пароль к конечным точкам ресурса или конечным точкам потока данных необходимо предоставить синхронизированному секрету имя. Ссылки на секреты будут сохранены в краю с указанным именем в качестве одного ресурса. В примере на снимке экрана ниже ссылки на имя пользователя и пароль сохраняются на границе как edp1secrets.

Снимок экрана: поле синхронизированного имени секрета при выборе пароля пользователя для режима проверки подлинности в операциях.

Управление синхронизированными секретами

Вы можете использовать управление секретами для конечных точек ресурсов и конечных точек потока данных для управления синхронизированными секретами. Управление секретами показывает список всех текущих синхронизированных секретов на границе для просматриваемого ресурса. Синхронизированный секрет представляет одну или несколько ссылок на секреты в зависимости от используемого ресурса. Любая операция, применяемая к синхронизированному секрету, будет применена ко всем ссылкам на секреты, содержащиеся в синхронизированном секрете.

Вы можете удалять синхронизированные секреты, а также управлять секретами. При удалении синхронизированного секрета он удаляет только синхронизированный секрет из края и не удаляет содержащуюся ссылку на секрет из хранилища ключей.

Примечание.

Перед удалением синхронизированного секрета убедитесь, что все ссылки на секрет из компонентов Операций Интернета вещей Azure удаляются.