Управление сменой учетных данных для локальных устройств Оператора Nexus

В этой статье описывается жизненный цикл смены учетных данных Operator Nexus, включая автоматическую смену и запросы на смену вручную.

Предпосылки

• Целевой кластер и сетевая структура должны находиться в работоспособном и действующем состоянии.
• Обновления учетных данных платформы записываются в предоставленное пользователем хранилище ключей, если оно было предоставлено. Пользователи предоставляют сведения о хранилище ключей для ресурса кластера во время создания или обновления кластера.
  • Дополнительные сведения о добавлении сведений о хранилище ключей в кластер см. в статье "Создание и подготовка кластера".
  • Команда обновления кластера позволяет пользователям добавлять или изменять сведения о хранилище ключей.
  • Сведения о настройке хранилища ключей для получения обновлений смены учетных данных см. в разделе "Настройка Key Vault для смены управляемых учетных данных".

Это важно

Хранилище ключей должно быть предоставлено в кластере, в противном случае учетные данные не могут быть извлечены. Служба поддержки Майкрософт не имеет доступа к учетным данным.

Периодическая смена учетных данных

Оператор Nexus Platform предлагает управляемый процесс смены учетных данных, который автоматически поворачивает следующие учетные данные:

• Контроллер управления базовой платой (BMC)
• Администратор массива хранилища Pure
• Пользователь консоли для аварийного доступа
• SSH-ключи пользователя консоли для аварийного доступа
• Локальное хранилище путей

При создании нового кластера учетные данные автоматически обновляются во время развертывания. Затем управляемый процесс учетных данных автоматически обновляет их периодически на основе типа учетных данных. Обновленные учетные данные записываются в хранилище ключей, связанное с ресурсом кластера.

Замечание

Введение этой возможности обеспечивает автоматическую смену существующих экземпляров. Во время обновления управления происходит замена, если срок действия каких-либо поддерживаемых удостоверений истекает в течение ожидаемого периода замены.

Версия 2024-07-01-GA сетевого облачного API добавила статус ротации учетных данных для ресурсов Bare Metal Machine и Storage Appliance. Эти сведения можно найти в структуре данных secretRotationStatus для каждого из ротационных учетных данных. Предварительная версия API 2025-07-01 и последующие версии API добавляют keyVaultUri в эту структуру данных, чтобы указать, какой Key Vault содержит обновленный секрет.

Один из примеров выглядит secretRotationStatus следующим образом:

       "secretRotationStatus": [
            {
                "lastRotationTime": "2024-10-30T17:48:23Z",
                "rotationPeriodDays": 14,
                "secretArchiveReference": {
                    "keyVaultUri": "<KV URI>:,
                    "keyVaultId": "<KV Resource ID>",
                    "secretName": "YYYYYYYYYYYYYYYYYYYYYY-storage-appliance-credential-manager-ZZZZZZZ",
                    "secretVersion": "XXXXXXXXXXXXXX"
                },
                "secretType": "Bare Metal Machine Identity - console"
            },

В объекте secretRotationStatus следующие поля предоставляют контекст состоянию последнего поворота:

• lastRotationTime: метка времени в формате UTC предыдущей успешной смены.
• rotationPeriodDays: количество дней, через которое запланировано смена этих учетных данных службой Credential Manager. Это значение не обозначает оставшиеся дни с момента lastRotatedTime, так как ротация может быть отложена, а показывает, сколько дней в расписании служба использует для смены определенных учетных данных.
• secretArchiveReference: ссылка на Хранилище ключей, в котором хранятся учетные данные. Он содержит следующее:
  • URI для хранилища ключей
  • Идентификатор хранилища ключей
  • имя секрета хранимых учетных данных
  • версия секрета, обновлённая ранее

Caution

Если учетные данные изменены на устройстве вне службы автоматической смены учетных данных, следующая смена, вероятнее всего, завершится ошибкой из-за того, что секретный ключ не известен программному обеспечению. Эта проблема предотвращает дальнейшую автоматическую смену.

Оператор Nexus также предоставляет службу для предварительной смены указанных выше учетных данных платформы. Эта служба доступна клиентам по запросу через запрос в службу поддержки. Для смены учетных данных для устройств Operator Nexus Fabric также требуется запрос в службу поддержки. Инструкции по созданию запроса на поддержку описаны в следующем разделе.

Изменения учетных данных вручную

Диспетчер учетных данных создает безопасный пароль из текущего значения, обновляет все узлы BMC и KeyVault, связанные с кластером. Диспетчер учетных данных проверяет доступность KeyVault и использует последний известный заменённый секрет для доступа к BMC, а затем выполняет замену.

Платформа не распознает вручную изменённые учетные данные, что предотвращает диспетчера учетных данных от доступа к BMC для обновления нового пароля. Для ротации iDRAC диспетчер учетных данных передает новые учетные данные контроллеру BareMetalMachine и пытается получить доступ к паролю iDRAC для ротации.

Неизвестное состояние учетных данных для платформы влияет на мониторинг и возможность выполнения будущих обновлений версий среды выполнения.

Чтобы восстановить состояние учетных данных, его необходимо сбросить в значение, которое распознает платформа. Существует два варианта для этой ситуации:

1. Запустите действие замены BareMetalMachine, используя текущие активные учетные данные. Действие замены позволяет машине использовать предоставленные учетные данные для сброса ротирования учетных данных. Это действие рекомендуется, если на компьютере вносятся значительные изменения.
2. Верните учетные данные BMC к значению, которое было до ручного изменения. Если хранилище ключей настроено для получения поворачиваемых учетных данных, необходимое значение можно получить с помощью сведений из secretRotationStatus данных для ресурса "Компьютер без операционной системы". Статус ротации учетных данных BMC указывает секрет и версию в хранилище ключей для соответствующего значения. После того как учетные данные соответствуют значению, ожидаемому системой смены учетных данных, обычно происходит смена.

Пример secretRotationStatus учетных данных BMC. Используйте secretName и secretVersion для поиска нужного значения в хранилище ключей кластера.

{
  {
    ...
    "secretArchiveReference": {
      "secretName": "YYYYYYYYYYYYYYYYYYYYYY-idrac-credential-manager-ZZZZZZZ",
      "secretVersion": "XXXXXXXXXXXXXX"
    },
    "secretType": "BMC Credential"
  }
},

Создание запроса в службу поддержки

Пользователи вызывают запросы на смену учетных данных, обратившись в службу поддержки. Эти сведения необходимы для выполнения смены учетных данных в запрошенном целевом экземпляре:

• Тип учетных данных, которые необходимо обновить.
• Укажите идентификатор клиента.
• Укажите идентификатор подписки.
• Укажите имя группы ресурсов, в котором находится целевой кластер или структура на основе типа учетных данных, которые необходимо повернуть.
• Укажите целевой кластер или имя структуры в зависимости от типа учетных данных, которые необходимо обновить.
• Укажите идентификатор целевого кластера или ресурс Azure в диспетчере ресурсов Azure (ARM) в зависимости от типа учетных данных, которые необходимо обновить.
• Укажите идентификатор хранилища ключей клиента, в котором записываются обновленные учетные данные.

Дополнительные сведения о планах поддержки см. в разделе Планы поддержки Azure.