Использование управляемых удостоверений для Нагрузочного тестирования Azure

В этой статье показано, как создать управляемое удостоверение для нагрузочного тестирования Azure. Управляемое удостоверение можно использовать для проверки подлинности и чтения секретов из Azure Key Vault.

Управляемое удостоверение из Azure Active Directory (Azure AD) позволяет ресурсу нагрузочного тестирования легко получать доступ к другим защищенным Azure AD ресурсам, таким как Azure Key Vault. Удостоверение управляется платформой Azure и не требует управления секретами или их смены. Дополнительные сведения об управляемых удостоверениях в Azure AD см. в статье Что такое управляемые удостоверения для ресурсов Azure.

Нагрузочное тестирование Azure поддерживает два типа удостоверений:

• Назначаемое системой удостоверение связывается с ресурсом нагрузочного тестирования и удаляется при удалении ресурса. Ресурс может иметь только одно удостоверение, назначаемое системой.
• Назначаемое пользователем удостоверение — это автономный ресурс Azure, который можно назначить ресурсу нагрузочного тестирования. При удалении ресурса нагрузочного тестирования управляемое удостоверение остается доступным. Ресурсу нагрузочного тестирования можно назначить несколько удостоверений, назначаемых пользователем.

Предварительные требования

• Учетная запись Azure с активной подпиской. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
• Ресурс нагрузочного тестирования Azure. Если вам нужно создать ресурс нагрузочного тестирования Azure, см. краткое руководство . Создание и запуск нагрузочного теста.
• Чтобы создать назначаемое пользователем управляемое удостоверение, учетной записи должна быть назначена роль участника управляемого удостоверения.

Назначение назначаемого системой удостоверения ресурсу нагрузочного тестирования

Чтобы назначить назначенное системой удостоверение для ресурса нагрузочного тестирования Azure, включите свойство для ресурса. Это свойство можно задать с помощью портал Azure или с помощью шаблона Azure Resource Manager (ARM).

Портал

Чтобы настроить управляемое удостоверение на портале, сначала создайте ресурс нагрузочного тестирования Azure, а затем включите эту функцию.

1. В портал Azure перейдите к ресурсу нагрузочного тестирования Azure.

2. На левой панели выберите Удостоверение.

3. Выберите вкладку Назначаемое системой.

4. Установите переключатель Состояние в положение Вкл., а затем нажмите кнопку Сохранить.

   

5. В окне подтверждения выберите Да , чтобы подтвердить назначение управляемого удостоверения.

6. После завершения назначения управляемого удостоверения на странице отобразится идентификатор объекта управляемого удостоверения и вы сможете назначить ему разрешения.

   

Теперь вы можете предоставить ресурсу нагрузочного тестирования доступ к хранилищу ключей Azure.

Шаблон ARM

Шаблон ARM можно использовать для автоматизации развертывания ресурсов Azure. Дополнительные сведения об использовании шаблонов ARM с нагрузочным тестированием Azure см. в справочной документации по ARM для нагрузочного тестирования Azure.

Управляемое удостоверение, назначаемое системой, можно назначить при создании ресурса типа Microsoft.LoadTestService/loadtests. identity Настройте свойство со значением SystemAssigned в определении ресурса:

"identity": {
    "type": "SystemAssigned"
}

Добавляя тип удостоверения, назначаемого системой, вы указываете Azure создать удостоверение для ресурса и управлять им. Например, ресурс нагрузочного тестирования Azure может выглядеть следующим образом:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

После завершения создания ресурса для ресурса настраиваются следующие свойства:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

Свойство tenantId определяет, к какому Azure AD арендатору принадлежит управляемое удостоверение. — principalId это уникальный идентификатор для нового удостоверения ресурса. В Azure AD субъект-служба имеет то же имя, что и ресурс нагрузочного тестирования Azure.

Теперь вы можете предоставить ресурсу нагрузочного тестирования доступ к хранилищу ключей Azure.

Назначение назначаемого пользователем удостоверения ресурсу нагрузочного тестирования

Перед добавлением управляемого удостоверения, назначаемого пользователем, в ресурс нагрузочного тестирования Azure необходимо сначала создать это удостоверение в Azure AD. Затем можно назначить удостоверение с помощью идентификатора ресурса.

В ресурс можно добавить несколько управляемых удостоверений, назначаемых пользователем. Например, если требуется доступ к нескольким ресурсам Azure, можно предоставить разные разрешения для каждого из этих удостоверений.

Портал

1. Создайте управляемое удостоверение, назначаемое пользователем, следуя инструкциям, приведенным в статье Создание управляемого удостоверения, назначаемого пользователем.

   

2. В портал Azure перейдите к ресурсу нагрузочного тестирования Azure.

3. На левой панели выберите Удостоверение.

4. Перейдите на вкладку Назначено пользователем и нажмите кнопку Добавить.

5. Найдите и выберите созданное ранее управляемое удостоверение. Затем выберите Добавить , чтобы добавить его в ресурс нагрузочного тестирования Azure.

   

Теперь вы можете предоставить ресурсу нагрузочного тестирования доступ к хранилищу ключей Azure.

Шаблон ARM

Ресурс нагрузочного тестирования Azure можно создать с помощью шаблона ARM и типа Microsoft.LoadTestService/loadtestsресурса . Дополнительные сведения об использовании шаблонов ARM с нагрузочным тестированием Azure см. в справочной документации по ARM для нагрузочного тестирования Azure.

1. Создайте управляемое удостоверение, назначаемое пользователем, следуя инструкциям, приведенным в статье Создание управляемого удостоверения, назначаемого пользователем.

2. Укажите управляемое удостоверение, назначаемое пользователем, в identity разделе определения ресурса.

   Замените текстовый <RESOURCEID> заполнитель идентификатором ресурса для удостоверения, назначаемого пользователем:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   В следующем фрагменте кода показан пример определения ресурса ARM для нагрузочного тестирования Azure с удостоверением, назначаемого пользователем:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   После создания ресурса нагрузочного тестирования Azure предоставляет principalId свойства и clientId в выходных данных:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   principalId — это уникальный идентификатор удостоверения, который используется для администрирования Azure AD. — clientId это уникальный идентификатор нового удостоверения ресурса, который используется для указания того, какое удостоверение следует использовать во время вызовов среды выполнения.

Теперь вы можете предоставить ресурсу нагрузочного тестирования доступ к хранилищу ключей Azure.

Предоставление доступа к хранилищу ключей Azure

Используя управляемые удостоверения для ресурсов Azure, ресурс нагрузочного тестирования Azure может получать доступ к маркерам, обеспечивающим проверку подлинности в хранилище ключей Azure. Предоставьте управляемому удостоверению доступ, назначив ему соответствующую роль .

Чтобы предоставить ресурсу нагрузочного тестирования Azure разрешения на чтение секретов из хранилища ключей Azure, выполните следующие действия.

1. В портал Azure перейдите к ресурсу хранилища ключей Azure.

   Если у вас нет хранилища ключей, следуйте инструкциям из краткого руководства по Azure Key Vault, чтобы создать его.

2. На левой панели в разделе Параметры выберите Политики доступа, а затем — Добавить политику доступа.

3. В раскрывающемся списке Разрешения секрета выберите Получить.

   

4. Выберите Выбрать субъект, а затем выберите назначаемый системой или пользователем субъект для ресурса нагрузочного тестирования Azure.

   Если вы используете управляемое удостоверение, назначаемое системой, имя совпадает с именем ресурса нагрузочного тестирования Azure.

5. Выберите Добавить.

Теперь вы предоставили доступ к ресурсу нагрузочного тестирования Azure для чтения значений секретов из хранилища ключей Azure.

Дальнейшие действия

• Узнайте, как параметризовать нагрузочный тест с помощью секретов.
• Узнайте, как управлять пользователями и ролями в Нагрузочном тестировании Azure.
• Что такое управляемые удостоверения для ресурсов Azure?