Migrera Batch-kontocertifikat till Azure Key Vault

Den 29 februari 2024 dras funktionen För Azure Batch-kontocertifikat tillbaka. Lär dig hur du migrerar dina certifikat på Azure Batch-konton med hjälp av Azure Key Vault i den här artikeln.

Om funktionen

Certifikat krävs ofta i olika scenarier som att dekryptera en hemlighet, skydda kommunikationskanaler eller komma åt en annan tjänst. För närvarande erbjuder Azure Batch två sätt att hantera certifikat i Batch-pooler. Du kan lägga till certifikat till ett Batch-konto eller använda azure Key Vault VM-tillägget för att hantera certifikat i Batch-pooler. Endast certifikatfunktionerna på ett Azure Batch-konto och de funktioner som den utökar till Batch-pooler via CertificateReference lägg till pool, korrigeringspool, uppdateringsegenskaper och motsvarande referenser på API:er för Hämta och Lista pool dras tillbaka. För Linux-pooler kommer miljövariabeln $AZ_BATCH_CERTIFICATES_DIR inte längre att definieras och fyllas i.

Funktionsslut för support

Azure Key Vault är den rekommenderade standardmekanismen för att lagra och komma åt hemligheter och certifikat i Azure på ett säkert sätt. Den 29 februari 2024 drar vi därför tillbaka funktionen Batch-kontocertifikat i Azure Batch. Alternativet är att använda vm-tillägget för Azure Key Vault och en användartilldelad hanterad identitet i poolen för att på ett säkert sätt komma åt och installera certifikat på dina Batch-pooler.

När certifikatfunktionen i Azure Batch har dragits tillbaka den 29 februari 2024 fungerar inte ett certifikat i Batch som förväntat. Efter det datumet kan du inte längre lägga till certifikat till ett Batch-konto eller länka dessa certifikat till Batch-pooler. Pooler som fortsätter att använda den här funktionen efter det här datumet kanske inte fungerar som förväntat, till exempel uppdatering av certifikatreferenser eller möjligheten att installera befintliga certifikatreferenser.

Alternativ: Använda Azure Key Vault VM-tillägget med användartilldelad hanterad identitet för pool

Azure Key Vault är en fullständigt hanterad Azure-tjänst som ger kontrollerad åtkomst för att lagra och hantera hemligheter, certifikat, token och nycklar. Key Vault ger säkerhet på transportlagret genom att se till att alla dataflöden från nyckelvalvet till klientprogrammet krypteras. Azure Key Vault ger dig ett säkert sätt att lagra viktig åtkomstinformation och ange detaljerad åtkomstkontroll. Du kan hantera alla hemligheter från en instrumentpanel. Välj att lagra en nyckel i antingen programvaruskyddade eller maskinvaruskyddade maskinvarusäkerhetsmoduler (HSM). Du kan också ställa in Key Vault på autorenew-certifikat.

En fullständig guide om hur du aktiverar Azure Key Vault VM-tillägg med användartilldelad hanterad pool finns i Aktivera automatisk certifikatrotation i en Batch-pool.

Vanliga frågor och svar om

• Har CloudServiceConfiguration pooler stöd för Azure Key Vault VM-tillägg och hanterad identitet i pooler?

  Nej. CloudServiceConfiguration pooler dras tillbaka samma datum som Azure Batch-kontocertifikatet dras tillbaka den 29 februari 2024. Vi rekommenderar att du migrerar till VirtualMachineConfiguration pooler före det datum då du kan använda dessa lösningar.

• Stöder batchkonton för användarprenumerationspoolallokering Azure Key Vault?

  Ja. Du kan använda samma Key Vault som angetts med ditt Batch-konto som för användning med dina pooler, men ditt Nyckelvalv som används för certifikat för batchpoolerna kan vara helt separat.

• Stöds både Linux- och Windows Batch-pooler med tillägget för den virtuella Key Vault-datorn?

  Ja. Se dokumentationen för Windows och Linux.

• Kan du uppdatera befintliga pooler med ett Key Vault VM-tillägg?

  Nej, de här egenskaperna kan inte uppdateras i poolen. Du måste återskapa pooler.

• Hur gör jag för att hämta referenser till certifikat i Linux Batch-pooler eftersom $AZ_BATCH_CERTIFICATES_DIR kommer att tas bort?

  Med key vault VM-tillägget för Linux kan du ange certificateStoreLocation, som är en absolut sökväg till där certifikatet lagras. Key Vault VM-tillägget omfångsutfärdar certifikat som installeras på den angivna platsen med endast superanvändarbehörighet (rotbehörighet). Du måste se till att dina uppgifter körs förhöjda för att få åtkomst till dessa certifikat som standard, eller kopiera certifikaten till en tillgänglig direkt och/eller justera certifikatfiler med rätt fillägen. Du kan köra sådana kommandon som en del av en upphöjd startaktivitet eller jobbförberedelseaktivitet.

• Hur gör jag för att installera .cer filer som inte innehåller privata nycklar?

  Key Vault anser inte att dessa filer är privilegierade eftersom de inte innehåller information om privata nycklar. Du kan installera .cer filer med någon av följande metoder. Använd Key Vault-hemligheter med lämpliga åtkomstbehörigheter för den associerade användartilldelade hanterade identiteten och hämta filen som en del av startuppgiften .cer som ska installeras. Du kan också lagra filen som en Azure Storage-blob och referera till den som en Batch-resursfil i startuppgiften .cer som ska installeras.

• Hur gör jag för att åtkomst till Key Vault-tillägget installerade certifikat för identiteter på icke-admin autouser-pool på aktivitetsnivå?

  Autoanvändare på aktivitetsnivå skapas på begäran och kan inte fördefinierade för att ange i accounts egenskapen i tillägget för den virtuella Key Vault-datorn. Du behöver en anpassad process som exporterar det nödvändiga certifikatet till ett allmänt tillgängligt arkiv eller ACL:er på lämpligt sätt för åtkomst av automatiska användare på aktivitetsnivå.

• Var hittar jag metodtips för att använda Azure Key Vault?

  Se Metodtips för Azure Key Vault.

Nästa steg

Mer information finns i Åtkomstkontroll för Key Vault-certifikat. Mer information om Batch-funktioner som är relaterade till den här migreringen finns i Azure Batch Pool-tillägg och Hanterad identitet för Azure Batch-pool.