Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве описано, как настроить кластер для развертывания с помощью универсального идентификатора ресурса Key Vault (URI) вместо обычного пароля. Эти учетные данные используются при создании или обновлении кластера Azure Operator и должны храниться в отдельном Key Vault, отличном от настроенного в --secret-archive-settings. Это разделение помогает обеспечить минимальный привилегированный доступ к секретам в secret-archive-settings Key Vault. URI хранилища ключей используется для развертывания кластера. После развертывания кластера автоматическое обновление учетных данных позволяет менять пароль.
Этот URI Key Vault используется для получения значения пароля из указанного Key Vault в рамках одноразовой операции. После получения этого значения пароля URI больше не используется, а пароль безопасно хранится в кластере.
URI Хранилища ключей и обычный пароль
Использование URI хранилища ключей вместо пароля обеспечивает дополнительную безопасность, избегая проблемы с использованием значения обычного текста. Значение URI не используется после завершения действий по созданию и обновлению кластера и замене физической машины.
Замечание
Эта функция поддерживается для создания и обновления кластера в рамках выпуска 2506.2. Позднее планируется выпуск, который прекратит поддержку использования паролей в открытом виде.
Распределение ролей
Управляемое удостоверение, указанное в поле --secret-archive-settings, должно быть назначена роль Key Vault Secrets User в хранилище ключей, содержащее пароль. Для развертывания рекомендуется использовать отдельное хранилище ключей для этого секрета пароля, а не использовать то же хранилище ключей, определенное в --secret-archive-settings. Назначение роли требуется, чтобы кластер смог получить значение пароля из указанного значения URI.
Key Vault Secrets User Назначение роли отличается от Operator Nexus Key Vault Writer Service Roleтого, что требуется для автоматической ротации учетных данных.
Дополнительные сведения --secret-archive-settingsсм. в разделе "Поддержка кластера для управляемых удостоверений".
Настройка базового контроллера управления (BMC) и устройства хранения
При развертывании кластера в составе данных конфигурации предоставляются несколько паролей. В выпуске 2506.2 появилась возможность передачи ссылочного значения URI вместо обычного пароля.
В этих примерах KEY_VAULT_NAME имя хранилища ключей и SECRET_NAME имя секрета. Если существует несколько версий секрета, можно добавить VERSION, чтобы указать, что конкретная версия должна использоваться.
Пароль базового контроллера управления
"bareMetalMachineConfigurationData":
[
{
"bmcCredentials":
{
"username": "$BMC_USERNAME",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION",
},
},
]
Пароль устройства хранилища
"storageApplianceConfigurationData":
[
{
"adminCredentials":
{
"username": "pureuser",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION",
},
},
]
Замена компьютера без операционной системы
Этот универсальный код ресурса (URI) хранилища ключей также можно указать для значения пароля при замене физической машины: замена физической машины. Для работы этой функции требуется то же назначение ролей .