Azure Stack Hub'da Event Hubs için gizli dizileri döndürme
Bu makalede, Event Hubs kaynak sağlayıcısı tarafından kullanılan gizli dizilerin nasıl döndürüleceği gösterilir.
Genel bakış ve ön koşullar
Not
Değer ekleme kaynak sağlayıcıları (RP) için gizli dizi döndürme şu anda yalnızca PowerShell aracılığıyla desteklenmektedir. Ayrıca, yönetim uyarıları şu anda oluşturulmadığından, değer katan RP'ler için gizli dizileri düzenli aralıklarla proaktif olarak döndürmeniz gerekir.
Azure Stack Hub altyapısında olduğu gibi değer katan kaynak sağlayıcıları da hem iç hem de dış gizli dizileri kullanır. Gizli diziler, parolalar ve X509 sertifikaları tarafından tutulan şifreleme anahtarları da dahil olmak üzere birden çok biçimde kullanılabilir. Operatör olarak şunlardan sorumlusunuz:
- Kaynak sağlayıcısı uç noktalarının güvenliğini sağlamak için kullanılan yeni bir TLS sertifikası gibi güncelleştirilmiş dış gizli diziler sağlama.
- Kaynak sağlayıcısı gizli dizi rotasyonunu düzenli olarak yönetme.
Döndürme işlemine hazırlık olarak:
X509 sertifikanızı edinmeden/yenilemeden önce gerekli PFX biçimiyle ilgili ayrıntılar da dahil olmak üzere önemli önkoşul bilgileri için Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimlerini gözden geçirin. Ayrıca, belirli değer ekleme kaynak sağlayıcınız için İsteğe Bağlı PaaS sertifikaları bölümünde belirtilen gereksinimleri gözden geçirin.
Henüz yapmadıysanız devam etmeden önce Azure Stack Hub için PowerShell Az modülünü yükleyin . Azure Stack Hub gizli dizi döndürmesi için sürüm 2.0.2-önizleme veya üzeri gereklidir. Daha fazla bilgi için bkz. Azure Stack Hub'da AzureRM'den Azure PowerShell Az'ye geçiş.
Yeni bir TLS sertifikası hazırlama
Ardından, değer ekleme kaynak sağlayıcısı uç noktalarının güvenliğini sağlamak için TLS sertifikanızı oluşturun veya yenileyin:
Kaynak sağlayıcınız için sertifika yenileme için sertifika imzalama istekleri (CSR) oluşturma'daki adımları tamamlayın. Burada CSR'yi oluşturmak için Azure Stack Hub Hazırlık Denetleyicisi aracını kullanacaksınız. "Diğer Azure Stack Hub hizmetleri için sertifika istekleri oluşturma" adımında kaynak sağlayıcınız için doğru cmdlet'i çalıştırdığınızdan emin olun. Örneğin
New-AzsHubEventHubsCertificateSigningRequestEvent Hubs için kullanılır. İşiniz bittiğinde, oluşturulan öğesini gönderirsiniz. Yeni sertifika için Sertifika Yetkilinize (CA) REQ dosyası.Sertifika dosyanızı CA'dan aldıktan sonra, Sertifikaları dağıtım veya döndürme için hazırlama'daki adımları tamamlayın. CA'dan döndürülen dosyayı işlemek için Hazırlık Denetleyicisi aracını yeniden kullanırsınız.
Son olarak Azure Stack Hub PKI sertifikalarını doğrulama makalesindeki adımları tamamlayın. Yeni sertifikanızda doğrulama testleri gerçekleştirmek için Hazırlık Denetleyicisi aracını bir kez daha kullanırsınız.
Gizli dizileri döndürme
Son olarak, kaynak sağlayıcısının en son dağıtım özelliklerini belirleyin ve bunları gizli dizi döndürme işlemini tamamlamak için kullanın.
Dağıtım özelliklerini belirleme
Kaynak sağlayıcıları Azure Stack Hub ortamınıza sürümlenmiş bir ürün paketi olarak dağıtılır. Paketlere biçiminde '<product-id>.<installed-version>'benzersiz bir paket kimliği atanır. Burada <product-id> , kaynak sağlayıcısını temsil eden benzersiz bir dizedir ve <installed-version> belirli bir sürümü temsil eder. Her paketle ilişkili gizli diziler Azure Stack Hub Key Vault hizmetinde depolanır.
Yükseltilmiş bir PowerShell konsolu açın ve kaynak sağlayıcısının gizli dizilerini döndürmek için gereken özellikleri belirlemek için aşağıdaki adımları tamamlayın:
Operatör kimlik bilgilerinizi kullanarak Azure Stack Hub ortamınızda oturum açın. Bkz. PowerShell için PowerShell ile Azure Stack Hub'a bağlanma oturum açma betiği. PowerShell Az cmdlet'lerini (AzureRM yerine) kullandığınızdan ve uç nokta URL'leri ve dizin kiracı adı gibi tüm yer tutucu değerleri değiştirerek değiştirmeyi unutmayın.
Get-AzsProductDeploymentEn son kaynak sağlayıcısı dağıtımlarının listesini almak için cmdlet'ini çalıştırın. Döndürülen"value"koleksiyon, dağıtılan her kaynak sağlayıcısı için bir öğe içerir. İlgilenen kaynak sağlayıcısını bulun ve şu özelliklerin değerlerini not edin:"name"- değerin ikinci segmentindeki kaynak sağlayıcısı ürün kimliğini içerir."properties"."deployment"."version"- şu anda dağıtılan sürüm numarasını içerir.
Aşağıdaki örnekte, ürün kimliği ve sürümü
"1.2003.0.0"olan koleksiyonun ilk öğesinde Event Hubs RP dağıtımına"microsoft.eventhub"dikkat edin:PS C:\WINDOWS\system32> Get-AzsProductDeployment -AsJson VERBOSE: GET https://adminmanagement.myregion.mycompany.com/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productDeployments?api-version=2019-01-01 with 0-char payload VERBOSE: Received 2656-char response, StatusCode = OK { "value": [ { "id": "/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productDeployments/microsoft.eventhub", "name": "global/microsoft.eventhub", "type": "Microsoft.Deployment.Admin/locations/productDeployments", "properties": { "status": "DeploymentSucceeded", "subscriptionId": "b37ae55a-a6c6-4474-ba97-81519412adf5", "deployment": { "version": "1.2003.0.0", "actionPlanInstanceResourceId":"/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/actionplans/abcdfcd3-fef0-z1a3-z85d-z6ceb0f31e36", "parameters": { } }, "lastSuccessfulDeployment": { "version": "1.2003.0.0", "actionPlanInstanceResourceId":"/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/actionplans/abcdfcd3-fef0-z1a3-z85d-z6ceb0f31e36", "parameters": { } }, "provisioningState": "Succeeded" } }, { ... } ] }Kaynak sağlayıcısı ürün kimliğini ve sürümünü birleştirerek kaynak sağlayıcısının paket kimliğini oluşturun. Örneğin, önceki adımda türetilen değerleri kullanarak Event Hubs RP paket kimliği şeklindedir
microsoft.eventhub.1.2003.0.0.Önceki adımda türetilen paket kimliğini kullanarak, kaynak sağlayıcısı tarafından kullanılan gizli dizi türlerinin listesini almak için komutunu çalıştırın
Get-AzsProductSecret -PackageId. Döndürülenvaluekoleksiyonda özelliği için"properties"."secretKind"değerini"Certificate"içeren öğesini bulun. Bu öğe, RP'nin sertifika gizli dizisinin özelliklerini içerir. Bu sertifika gizli dizisine atanan ve hemen üzerinde"properties", özelliğinin"name"son kesimi tarafından tanımlanan adı not edin.Aşağıdaki örnekte, Event Hubs RP için döndürülen gizli dizi koleksiyonu adlı
aseh-ssl-gateway-pfxbir"Certificate"gizli dizi içerir.PS C:\WINDOWS\system32> Get-AzsProductSecret -PackageId 'microsoft.eventhub.1.2003.0.0' -AsJson VERBOSE: GET https://adminmanagement.myregion.mycompany.com/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets?api-version=2019-01-01 with 0-char payload VERBOSE: Received 617-char response, StatusCode = OK { "value": [ { "id": "/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets/aseh-ssl-gateway-pfx", "name": "global/microsoft.eventhub.1.2003.0.0/aseh-ssl-gateway-pfx", "type": "Microsoft.Deployment.Admin/locations/productPackages/secrets", "properties": { "secretKind": "Certificate", "description": "Event Hubs gateway SSL certificate.", "expiresAfter": "P730D", "secretDescriptor": { }, "secretState": { "status": "Deployed", "rotationStatus": "None", "expirationDate": "2022-03-31T00:16:05.3068718Z" }, "provisioningState": "Succeeded" } }, ... ] }
Gizli dizileri döndürme
Set-AzsProductSecretYeni sertifikanızı döndürme işlemi tarafından kullanılacak olan Key Vault içeri aktarmak için cmdlet'ini kullanın. Betiği çalıştırmadan önce değişken yer tutucu değerlerini uygun şekilde değiştirin:Yer tutucu Description Örnek değer <product-id>En son kaynak sağlayıcısı dağıtımının ürün kimliği. microsoft.eventhub<installed-version>En son kaynak sağlayıcısı dağıtımının sürümü. 1.2003.0.0<cert-secret-name>Sertifika gizli dizisinin depolandığı ad. aseh-ssl-gateway-pfx<cert-pfx-file-path>Sertifika PFX dosyanızın yolu. C:\dir\eh-cert-file.pfx<pfx-password>Sertifikanıza atanan parola. PFX dosyası. strong@CertSecret6$productId = '<product-id>' $packageId = $productId + '.' + '<installed-version>' $certSecretName = '<cert-secret-name>' $pfxFilePath = '<cert-pfx-file-path>' $pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -ForceSon olarak, iç ve dış gizli dizileri döndürmek için cmdlet'ini kullanın
Invoke-AzsProductRotateSecretsAction:Not
Döndürme işleminin tamamlanması yaklaşık 3,5 - 4 saat sürer.
Invoke-AzsProductRotateSecretsAction -ProductId $productIdMarket hizmetinde kaynak sağlayıcısını seçerek PowerShell konsolunda veya yönetici portalında gizli dizi döndürme ilerleme durumunu izleyebilirsiniz:
Sorun giderme
Gizli dizi döndürme hatasız olarak başarıyla tamamlanmalıdır. Yönetici portalında aşağıdaki koşullardan herhangi birini yaşarsanız yardım için bir destek isteği açın :
- Event Hubs kaynak sağlayıcısına bağlanma sorunları da dahil olmak üzere kimlik doğrulama sorunları.
- Kaynak sağlayıcısı yükseltilemiyor veya yapılandırma parametreleri düzenlenemiyor.
- Kullanım ölçümleri gösterilmiyor.
- Faturalar oluşturulmuyor.
- Yedeklemeler gerçekleşmiyor.
Sonraki adımlar
Azure Stack Hub altyapı gizli dizilerinizi döndürme hakkında ayrıntılı bilgi için Bkz. Azure Stack Hub'da gizli dizileri döndürme.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin