Aracılığıyla paylaş

Yönetilen kimlikler ve kullanıcı tarafından sağlanan kaynaklar için Azure Operatör Nexus Kümesi desteği

Operatör Nexus platformunun güvenliğini geliştirmek için artık Operatör Nexus Kümeleri için yönetilen kimlikler desteklenmektedir. Yönetilen kimlikler, uygulamaların diğer Azure kaynaklarına erişmesi için güvenli bir yol sağlar ve kullanıcıların kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. Ayrıca, Operatör Nexus artık kullanıcı tarafından sağlanan bir kaynak modeline sahiptir. Geliştirilmiş güvenliğe ek olarak, bu vardiya platform genelinde tutarlı bir kullanıcı deneyimi sağlar.

Yönetilen kimlikler, İşleç Nexus Kümelerinde sağlanan aşağıdaki kullanıcı kaynaklarıyla kullanılır:

  • Bare Metal run-* komutlarının çıkışı için kullanılan Depolama Hesapları.
  • Kimlik bilgisi döndürme için kullanılan Anahtar Kasaları.
  • Log Analytics Çalışma Alanları (LAW), bazı ölçümleri yakalamak için kullanılır.

Azure'da yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Azure kaynakları için yönetilen kimlikler. İşleç Nexus Kümeleri, birden çok Kullanıcı Tarafından Atanan Yönetilen Kimlikleri (UAMI) veya bir sistem tarafından atanan yönetilen kimliği (SAMI) destekler. Bir veya daha fazla UAM'nin ve SAMI'nin birleşimi de desteklenir.

Bir kullanıcı yönetilen kimlik türünden birini kullanmayı seçebilir ancak UAMI'ler önerilir. Kullanıcılara, Operatör Nexus Kümesi oluşturma veya güncelleştirme işleminden önce UAMI'ye uygun erişimle kaynakları önceden yapılandırma olanağı sağlar. Tüm kaynaklar için aynı UAMI kullanılabilir veya kullanıcılar ayrıntılı erişim isterse her kaynak için UAMI tanımlayabilir.

Api'yi kullanarak Küme yönetilen kimliklerini güncelleştirme hakkında bilgi için bkz . Küme Kimliklerini Güncelleştirme.

Önkoşullar

  • Azure CLI’yı yükleyin.
  • Uygun Azure CLI uzantılarının en son sürümünü yükleyin.
  • Depolama Hesabı yönetilen kimlik desteği, NetworkCloud API'sinin 2024-07-01 veya sonraki bir sürümünü gerektirir.
  • Key Vault ve Log Analytics Çalışma Alanı yönetilen kimlik desteği, NetworkCloud API'sinin 2025-02-01 veya sonraki bir sürümünü gerektirir.

Kullanıcı Tarafından Atanan Yönetilen Kimliklerle İşleç Nexus Kümeleri (UAMI)

İlk olarak kullanıcı tarafından sağlanan tüm kaynakları (Depolama Hesabı, LAW ve Key Vault), bu kaynaklarla ilişkili yönetilen kimlikleri tanımlamak ve ardından yönetilen kimliği kaynağa uygun erişimi atamak en iyi yöntemdir. Bu adımlar Küme oluşturmadan önce yapılmazsa, küme dağıtımından önce adımların tamamlanması gerekir.

Bu kaynakları yeni bir Küme için yapılandırmama işleminin etkileri şunlardır:

  • Depolama Hesabı: Küme oluşturma, küme girişinde commandOutputSettings 'nin mevcut olmadığını kontrol eden bir denetim olduğundan başarısız olur.
  • KANUN: Dağıtım sırasında yazılım uzantılarını yüklemek için LAW (Log Analytics Workplace) gerektiğinden küme dağıtımı başarısız olur.
  • Key Vault: Kimlik bilgisi döndürme işlemi gerçekleştirilmeden önce kullanıcı tarafından sağlanan Key Vault'a yazma erişimi olduğundan emin olmak için bir denetim olduğundan kimlik bilgileri döndürme başarısız olur.

Kümeyi güncelleştirmek istediğiniz zaman yapılabilir. LAW ayarlarının değiştirilmesi, LAW kullanan uzantıların yeniden yüklenmesi gerektiğinden LAW'a ölçüm gönderilmesinde kısa bir kesintiye neden olur.

UAMI'leri Nexus Kümeleri ve ilişkili kaynaklarla kullanmak için aşağıdaki adımlar izlenmelidir.

  1. UAMI veya UAMI oluşturma
  2. Kaynakları oluşturma ve UAMI'yi kaynaklara atama
  3. Kullanıcı Tarafından Atanan Yönetilen Kimlikleri ve kullanıcı tarafından sağlanan kaynakları kullanmak için Kümeyi oluşturma veya güncelleştirme
  4. Kümeyi dağıtma (yeniyse)

UAMI veya UAMI oluşturma

  1. Söz konusu kaynaklar için UAMI veya UAMI'leri oluşturun. Yönetilen kimlikleri oluşturma hakkında daha fazla bilgi için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.

Kaynakları oluşturma ve UAMI'yi kaynaklara atama

Depolama Hesapları kurulumu

  1. Bir depolama hesabı oluşturun veya kullanmak istediğiniz mevcut bir depolama hesabını tanımlayın. Bkz. Azure depolama hesabı oluşturma.
  2. Depolama hesabında bir blob depolama kapsayıcısı oluşturun. Bkz. Kapsayıcı oluşturma.
  3. Storage Blob Data Contributor Rolü kullanıcılara ve run-* komut çıkışına erişmesi gereken UAMI'ye atayın. Bkz. Blob verilerine erişmek için Azure rolü atama.
  4. Depolama Hesabına erişimi belirli bir IP veya sanal ağ kümesiyle sınırlamak için bkz . Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
    1. Run-* komutlarını yürüten tüm kullanıcıların IP'lerinin Depolama Hesabının Virtual Networks ve/veya Firewall listelerine eklenmesi gerekir.
    2. altında Allow Azure services on the trusted services list to access this storage account. öğesinin seçili olduğundan emin olunExceptions.

Log Analytics Çalışma Alanları kurulumu

  1. Log Analytics Çalışma Alanı (LAW) oluşturun veya kullanmak istediğiniz mevcut bir LAW'yi belirleyin. Bkz . Log Analytics Çalışma Alanı Oluşturma.
  2. Log Analytics Contributor Rolü Log Analytics çalışma alanı için UAMI'ye atayın. Bkz . Log Analytics çalışma alanlarına erişimi yönetme.

Key Vault kurulumu

  1. Bir Key Vault oluşturun veya kullanmak istediğiniz mevcut bir Key Vault'u belirleyin. Bkz . Key Vault oluşturma.
  2. Rol Tabanlı Erişim Denetimi (RBAC) için Key Vault'ı etkinleştirin. Bkz . Key Vault'ta Azure RBAC izinlerini etkinleştirme.
  3. Operator Nexus Key Vault Writer Service Role (Preview) Rolü Key Vault için UAMI'ye atayın. Bkz. Rol atama.
    1. İşleç Nexus Key Vault Yazıcı Hizmeti Rolünün rol tanımı kimliği şeklindedir 44f0a1a8-6fea-4b35-980a-8ff50c487c97. Rol atamasını yapmak için Azure komut satırı kullanılıyorsa bu biçim gereklidir.
  4. Key Vault'a erişmek için UAMI kullanırken, nexus platformu için bu kimliğe erişim sağlanması gerekir. Özellikle, Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Microsoft Entra Kimliği için AFOI-NC-MGMT-PME-PROD Kullanıcı tarafından atanan kimliğe izin eklenmesi gerekir. Bu, gelecekte ele alınacak platformun bilinen bir sınırlamasıdır.
    1. Azure portalını açın ve söz konusu Kullanıcı tarafından atanan kimliği bulun.
    2. Erişim denetimi (IAM) altında Rol ataması ekle'yi seçin.
    3. Rol: Yönetilen Kimlik İşleci'yi seçin. (Rolün managed-identity-operator sağladığı izinlere bakın).
    4. Erişim atama: Kullanıcı, grup veya hizmet sorumlusu.
    5. Üye: AFOI-NC-MGMT-PME-PROD uygulaması'yı seçin.
    6. Gözden geçirin ve atayın.
  5. Key Vault'a erişimi belirli bir IP veya sanal ağ kümesiyle sınırlamak için bkz . Azure Key Vault güvenlik duvarlarını ve sanal ağlarını yapılandırma.
    1. Key Vault'a erişim gerektiren tüm kullanıcıların IP'lerinin Key Vault'un Virtual Networks ve/veya Firewall listelerine eklenmesi gerekir.
    2. altındaki Allow trusted Microsoft services to bypass this firewall. öğesinin Exceptions seçili olduğundan emin olun.

Kullanıcı Tarafından Atanan Yönetilen Kimlikleri ve kullanıcı tarafından sağlanan kaynakları kullanmak için Nexus Kümesini oluşturma veya güncelleştirme

Kümede UAMI'leri tanımlama

Kullanıcı tarafından atanan yönetilen kimlikle küme oluştururken veya güncelleştirirken UAMI'nin kaynak kimliğiyle birlikte parametresini kullanın --mi-user-assigned . Birden çok UAMI belirtmek istiyorsanız, UAMI'lerin kaynak kimliklerini aralarında boşluk olacak şekilde listeleyin. Bir Key Vault, LAW veya Depolama Hesabı için kullanılan her UAMI bu listede sağlanmalıdır.

Kümeyi oluştururken içindeki UAMI'leri --mi-user-assigned belirtir ve ayrıca kaynak ayarlarını tanımlarsınız. Kümeyi UAMI'yi ayarlamak veya değiştirmek için güncelleştirmek, UAMI'yi kaynakla ilişkilendirmek için kaynak ayarları değişikliklerini de içermelidir.

Depolama Hesabı ayarları

Veri --command-output-settings yapısı, çalıştırma komutu çıkışının yazıldığı Depolama Hesabını tanımlamak için kullanılır. Aşağıdaki alanlardan oluşur:

  • container-url: Belirtilen kimlikler tarafından kullanılacak depolama hesabı kapsayıcısının URL'si.
  • identity-resource-id: Kullanıcı tarafından kullanılacak yönetilen kimlik kaynak kimliği atanır. Sistem tarafından atanan kimlik türüyle birbirini dışlar.
  • identity-type: Seçili olan yönetilen kimliğin türü. UserAssignedIdentity adresini kullanın.

Log Analytics Çalışma Alanı ayarları

Veri --analytics-output-settings yapısı, ölçümlerin gönderildiği LAW'ı tanımlamak için kullanılır. Aşağıdaki alanlardan oluşur:

  • analytics-workspace-id: Belirtilen kimlik tarafından kullanılacak analiz çalışma alanının kaynak kimliği.
  • identity-resource-id: Kullanıcı tarafından kullanılacak yönetilen kimlik kaynak kimliği atanır. Sistem tarafından atanan kimlik türüyle birbirini dışlayan
  • identity-type: Seçili olan yönetilen kimliğin türü. UserAssignedIdentity adresini kullanın.

Key Vault ayarları

Veri --secret-archive-settings yapısı, döndürülen kimlik bilgilerinin yazıldığı Key Vault'un tanımlanması için kullanılır. Aşağıdaki alanlardan oluşur:

  • identity-resource-id: Kullanıcı tarafından kullanılacak yönetilen kimlik kaynak kimliği atanır.
  • identity-type: Seçili olan yönetilen kimliğin türü. UserAssignedIdentity adresini kullanın.
  • vault-uri: Gizli dizi arşivi olarak kullanılan anahtar kasası için URI.

Küme oluşturma komut örnekleri

Örnek 1: Bu örnek, Depolama Hesabı, LAW ve Key Vault genelinde bir UAMI kullanan kısaltılmış bir Küme oluşturma komutudur.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
      container-url="https://myaccount.blob.core.windows.net/mycontainer" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI"

Örnek 2: Bu örnek, iki UAMI kullanan kısaltılmış bir Küme oluşturma komutudur. Depolama Hesabı ve LAW ilk UAMI'yi, Key Vault ise ikincisini kullanır.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
      container-url="https://myaccount.blob.core.windows.net/mycontainer" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/" \
      identity-type="UserAssignedIdentity" \
      identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI"

Küme güncelleştirme örnekleri

Kümeyi güncelleştirme işlemi tek bir adım olarak gerçekleştirilir. Küme alanını UAMI'yi --mi-user-assigned ve Depolama Hesabı, LAW veya Key Vault için karşılık gelen --identity-resource-id dahil edecek şekilde güncelleyin.

Kullanımda olan birden çok UAM varsa, güncelleştirme sırasında alanda UAMI'lerin --mi-user-assigned tam listesi belirtilmelidir. Kümede bir SAMI kullanılıyorsa ve UAMI ekliyorsanız güncelleştirme komutuna eklemeniz --mi-system-assigned gerekir. Mevcut yönetilen kimliklerin dahil edilememesi, bunların kaldırılmasına neden olur.

LAW ve Key Vault için, mevcut veri yapılarından yönetilen kimlikleri kullanan yeni yapılara geçiş, Küme Güncelleştirmesi aracılığıyla yapılabilir.

Örnek 1: Kümeye bir UAMI ekleyin ve UAMI'yi (myUAMI) gizli arşiv ayarlarına (Key Vault) tanımlayın. Bu Kümede tanımlanmış bir SAMI varsa, SAMI kaldırılır.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
   --secret-archive-settings identity-type="UserAssignedIdentity" \
     identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
     vault-uri="https://keyvaultname.vault.azure.net/"

Örnek 2: Zaten mySecondUAMI bulunan ve korunan bir kümeye UAMI'yi ekleyin ve myFirstUAMI'ü Komut çıktı ayarlarına (Depolama Hesabı) atamak için kümeyi güncelleyin.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
  --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer"

Örnek 3: SAMI'si zaten olan bir Kümeyi güncelleştirin ve UAMI ekleyin ve UAMI'yi log analytics çıkış ayarlarına (LAW) atayın. SAMI korunur.

Dikkat

LAW ayarlarının değiştirilmesi, LAW kullanan uzantıların yeniden yüklenmesi gerekebileceğinden, LAW'a ölçüm gönderilmesinde kısa bir kesintiye neden olur.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
   --mi-system-assigned \
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
     identity-type="UserAssignedIdentity" \
     identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI"

Kullanıcı Tarafından Atanan Yönetilen Kimliğin asıl kimliğini görüntüleme

Kimlik kaynağı kimliği, kimlik kaynağında "JSON görünümü" seçilerek bulunabilir; kimlik, görüntülenen panelin en üstünde yer alır. Kapsayıcı URL'si, kapsayıcı kaynağının Ayarlar -> Özellikler sekmesinde bulunabilir.

CLI, küme içindeki kimliği ve ilişkili asıl kimlik verilerini görüntülemek için de kullanılabilir.

Örnek:

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Çıktı:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/subscriptionID/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Sistem Tarafından Atanan Yönetilen Kimliğe Sahip İşleç Nexus Kümeleri

Sistem Tarafından Atanan Yönetilen Kimlik (SAMI) kullanmak UAMI'lerden biraz farklı bir desen izler. Kullanıcı tarafından sağlanan kaynaklar (Depolama Hesabı, LAW ve Key Vault) Küme oluşturma komutuna veya şablonuna dahil edilmelidir ancak Küme oluşturulana kadar SAMI yoktur. Küme oluşturulduktan sonra kullanıcıların SAMI'yi almak için Kümeyi sorgulaması, Kümeyi dağıtmadan önce her kaynak için SAMI'ye doğru ayrıcalıkları ataması gerekir.

Yeni bir Küme için bu adımların Küme dağıtımı öncesinde tamamlanması gerekir. Bu kaynakları yeni bir Küme için dağıtım zamanına göre yapılandırmama işleminin etkileri şunlardır:

  • Depolama Hesabı: Küme oluşturma, küme girişinde commandOutputSettings 'nin mevcut olmadığını kontrol eden bir denetim olduğundan başarısız olur.
  • LAW: Dağıtım sırasında yazılım uzantılarını yüklemek için LAW gerektiğinden küme dağıtımı başarısız olur.
  • Key Vault: Kimlik bilgisi döndürme işlemi gerçekleştirilmeden önce kullanıcı tarafından sağlanan Key Vault'a yazma erişimi olduğundan emin olmak için bir denetim olduğundan kimlik bilgileri döndürme başarısız olur.

Kümeyi güncelleştirmek istediğiniz zaman yapılabilir. LAW ayarlarının değiştirilmesi, LAW kullanan uzantıların yeniden yüklenmesi gerektiğinden, ÖLÇÜMLERIN LAW'a gönderilmesinde kısa bir kesintiye neden olur.

UAMI'leri Nexus Kümeleri ve ilişkili kaynaklarla kullanmak için aşağıdaki adımlar izlenmelidir.

Küme Oluşturma

  1. Kullanıcı tarafından sağlanan kaynakları oluşturma
  2. SAMI ile Küme oluşturma ve SAMI kullanan kaynakları belirtme
  3. SAMI'yi almak için Kümeyi sorgulama
  4. Kaynakları güncelleştirme ve kaynaklara SAMI atama
  5. Kümeyi Dağıtma

Küme Güncelleştirmesi

  1. Kullanıcı tarafından sağlanan kaynakları oluşturma
  2. SAMI eklemek için Kümeyi güncelleştirme
  3. SAMI'yi almak için Kümeyi sorgulama
  4. Kaynakları güncelleştirme ve kaynaklara SAMI atama
  5. Kümeyi kullanıcı tarafından sağlanan kaynak bilgileriyle güncelleştirme

Kullanıcı tarafından sağlanan kaynakları oluşturma

Bu bölüm, küme oluşturmadan önce gerçekleşmesi gereken kullanıcı kaynağı kurulumu için dış bağlantılar sağlar.

Depolama Hesapları kurulumu

  1. Bir depolama hesabı oluşturun veya kullanmak istediğiniz mevcut bir depolama hesabını tanımlayın. Bkz. Azure depolama hesabı oluşturma.
  2. Depolama hesabında bir blob depolama kapsayıcısı oluşturun. Bkz. Kapsayıcı oluşturma.

Log Analytics Çalışma Alanları kurulumu

  1. Log Analytics Çalışma Alanı (LAW) oluşturun veya kullanmak istediğiniz mevcut bir LAW'yi belirleyin. Bkz . Log Analytics Çalışma Alanı Oluşturma.

Key Vault kurulumu

  1. Bir Key Vault oluşturun veya kullanmak istediğiniz mevcut bir Key Vault'u belirleyin. Bkz . Key Vault oluşturma.

SAMI ve kullanıcı tarafından sağlanan kaynaklarla Küme oluşturma

Sistem tarafından atanan yönetilen kimlikle küme oluştururken parametresini --mi-system-assigned kullanın. Küme oluşturma işlemi SAMI bilgilerini oluşturur. Kullanıcı tarafından sağlanan kaynaklar, Küme oluşturma sırasında da tanımlanır.

Depolama Hesabı ayarları

Veri --command-output-settings yapısı, çalıştırma komutu çıkışının yazıldığı Depolama Hesabını tanımlamak için kullanılır. Aşağıdaki alanlardan oluşur:

  • container-url: Belirtilen kimlikler tarafından kullanılacak depolama hesabı kapsayıcısının URL'si.
  • identity-resource-id: SAMI kullanırken gerekli değildir
  • identity-type: Seçili olan yönetilen kimliğin türü. SystemAssignedIdentity adresini kullanın.

Log Analytics Çalışma Alanı ayarları

Veri --analytics-output-settings yapısı, ölçümlerin gönderildiği LAW'ı tanımlamak için kullanılır. Aşağıdaki alanlardan oluşur:

  • analytics-workspace-id: Belirtilen kimlik tarafından kullanılacak analiz çalışma alanının kaynak kimliği.
  • identity-resource-id: SAMI kullanırken gerekli değildir
  • identity-type: Seçili olan yönetilen kimliğin türü. SystemAssignedIdentity adresini kullanın.

Key Vault ayarları

Veri --secret-archive-settings yapısı, döndürülen kimlik bilgilerinin yazıldığı Key Vault'un tanımlanması için kullanılır. Aşağıdaki alanlardan oluşur:

  • identity-resource-id: SAMI kullanırken gerekli değildir
  • identity-type: Seçili olan yönetilen kimliğin türü. SystemAssignedIdentity adresini kullanın.
  • vault-uri: Gizli dizi arşivi olarak kullanılan anahtar kasası için URI.

Küme oluşturma komut örnekleri

Örnek: Bu örnek, bir SAMI belirten ve kullanıcı tarafından sağlanan kaynakların her biri için SAMI kullanan kısaltılmış bir Küme oluşturma komutudur.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

   --mi-system-assigned \
   --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer"
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \
   --secret-archive-settings identity-type="SystemAssignedIdentity" \
     vault-uri="https://keyvaultname.vault.azure.net/"

SAMI eklemek için Kümeyi güncelleştirme

Kümeyi sistem tarafından atanan yönetilen kimlikle güncelleştirirken parametresini --mi-system-assigned kullanın. Küme güncelleştirme işlemi SAMI bilgilerini oluşturur. Kullanıcı tarafından sağlanan kaynaklar daha sonra uygun rol atamaları yapıldıktan sonra SAMI'yi kullanacak şekilde güncelleştirilir.

Önemli

Bir Kümeyi kullanımda olan bir UAMI veya UAMI ile güncelleştirirken, SAMI eklerken veya güncelleştirirken mevcut UAMI'leri --mi-user-assigned kimlik listesine eklemeniz gerekir. Kümede bir SAMI kullanılıyorsa ve UAMI ekliyorsanız güncelleştirme komutuna eklemeniz --mi-system-assigned gerekir. Bunun yapılmaması, ilgili yönetilen kimliklerin kaldırılmasına neden olur.

Bu örnekler, mevcut bir Kümeyi SAMI eklemek üzere güncelleştirmeye yöneliktir.

Örnek 1: Bu örnek, SAMI eklemek için kümeyi güncelleştirir. Kümede tanımlanan tüm UAMI'ler kaldırılır.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-system-assigned

Örnek 2: Bu örnek, SAMI eklemek için bir Kümeyi güncelleştirir ve mevcut UAMI olan myUAMIöğesini tutar.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --mi-system-assigned

SAMI'yi almak için Kümeyi sorgulama

Kimlik kaynağı kimliği, Azure portalındaki kimlik kaynağında "JSON görünümü" seçilerek bulunabilir.

CLI, küme içindeki kimliği ve ilişkili asıl kimlik verilerini görüntülemek için de kullanılabilir.

Kaynaklara principalId erişim izni vermek için kullanılan kimliği not edin.

Örnek:

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Sistem tarafından atanan kimlik örneği:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Kaynakları güncelleştirme ve kaynaklara SAMI atama

Bu güncelleştirmeler, SAMI'nin uygun rol atamalarına sahip olduğundan ve kaynakların İşleç Nexus kullanımı için düzgün yapılandırıldığından emin olmak için Küme oluşturma veya güncelleştirme sonrasında geçerlidir.

Depolama Hesapları kurulumu

  1. Storage Blob Data Contributor Rolü kullanıcılara ve run-* komut çıkışına erişmesi gereken SAMI'ye atayın. Bkz. Blob verilerine erişmek için Azure rolü atama.
  2. Depolama Hesabına erişimi belirli bir IP veya sanal ağ kümesiyle sınırlamak için bkz . Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
    1. Run-* komutlarını yürüten tüm kullanıcıların IP'lerinin Depolama Hesabının Virtual Networks ve/veya Firewall listelerine eklenmesi gerekir.
    2. altında Allow Azure services on the trusted services list to access this storage account. öğesinin seçili olduğundan emin olunExceptions.

Log Analytics Çalışma Alanları kurulumu

  1. Log Analytics Contributor Rolü Log Analytics çalışma alanı için SAMI'ye atayın. Bkz . Log Analytics çalışma alanlarına erişimi yönetme.

Key Vault kurulumu

  1. Rol Tabanlı Erişim Denetimi (RBAC) için Key Vault'ı etkinleştirin. Bkz . Key Vault'ta Azure RBAC izinlerini etkinleştirme.
  2. Operator Nexus Key Vault Writer Service Role (Preview) Rolü Key Vault için SAMI'ye atayın. Bkz. Rol atama.
    1. İşleç Nexus Key Vault Yazıcı Hizmeti Rolünün rol tanımı kimliği şeklindedir 44f0a1a8-6fea-4b35-980a-8ff50c487c97. Rol atamasını yapmak için Azure komut satırı kullanılıyorsa bu biçim gereklidir.
  3. Key Vault'a erişimi belirli bir IP veya sanal ağ kümesiyle sınırlamak için bkz . Azure Key Vault güvenlik duvarlarını ve sanal ağlarını yapılandırma.
    1. Key Vault'a erişim gerektiren tüm kullanıcıların IP'lerinin Key Vault'un Virtual Networks ve/veya Firewall listelerine eklenmesi gerekir.
    2. altındaki Allow trusted Microsoft services to bypass this firewall. öğesinin Exceptions seçili olduğundan emin olun.

Kümeyi kullanıcı tarafından sağlanan kaynak bilgileriyle güncelleştirme

Bu adım yalnızca SAMI eklemek için küme güncelleştirildikten sonra gereklidir ve SAMI'ye uygun rolü veya rolleri atamak için kaynaklar güncelleştirildikten sonra gerçekleştirilmelidir.

Depolama Hesabı ayarları

Veri --command-output-settings yapısı, çalıştırma komutu çıkışının yazıldığı Depolama Hesabını tanımlamak için kullanılır. Aşağıdaki alanlardan oluşur:

  • container-url: Belirtilen kimlikler tarafından kullanılacak depolama hesabı kapsayıcısının URL'si.
  • identity-resource-id: SAMI kullanırken gerekli değildir
  • identity-type: Seçili olan yönetilen kimliğin türü. SystemAssignedIdentity adresini kullanın.

Log Analytics Çalışma Alanı ayarları

Veri --analytics-output-settings yapısı, ölçümlerin gönderildiği LAW'ı tanımlamak için kullanılır. Aşağıdaki alanlardan oluşur:

  • analytics-workspace-id: Belirtilen kimlik tarafından kullanılacak analiz çalışma alanının kaynak kimliği.
  • identity-resource-id: SAMI kullanırken gerekli değildir
  • identity-type: Seçili olan yönetilen kimliğin türü. SystemAssignedIdentity adresini kullanın.

Key Vault ayarları

Veri --secret-archive-settings yapısı, döndürülen kimlik bilgilerinin yazıldığı Key Vault'un tanımlanması için kullanılır. Aşağıdaki alanlardan oluşur:

  • identity-resource-id: SAMI kullanırken gerekli değildir
  • identity-type: Seçili olan yönetilen kimliğin türü. SystemAssignedIdentity adresini kullanın.
  • vault-uri: Gizli dizi arşivi olarak kullanılan anahtar kasası için URI.

Küme güncelleştirme örnekleri

Kümenin güncelleştirilmesi, oluşturma ile aynı deseni izler. Bir kaynağın UAMI'sini değiştirmeniz gerekiyorsa, bunu hem alana hem de --mi-user-assigned Depolama Hesabı, LAW veya Key Vault'a karşılık gelen --identity-resource-id alana eklemeniz gerekir. Kullanımda olan birden çok UAM varsa, güncelleştirme sırasında alanda UAMI'lerin --mi-user-assigned tam listesi belirtilmelidir.

LAW ve Key Vault için, mevcut veri yapılarından UAMI kullanan yeni yapılara geçiş bir Küme Güncelleştirmesi aracılığıyla yapılabilir.

Örnek 1: Küme için komut çıktı ayarlarını (Depolama Hesabı) ekleyin veya güncelleştirin.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer"

Örnek 2: Küme için log analytics çıkış ayarlarını (LAW) ekleyin veya güncelleştirin.

Dikkat

LAW ayarlarının değiştirilmesi, LAW kullanan uzantıların yeniden yüklenmesi gerektiğinden, ÖLÇÜMLERIN LAW'a gönderilmesinde kısa bir kesintiye neden olur.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \

Örnek 3: Küme için gizli dizi arşiv ayarlarını (Key Vault) ekleyin veya güncelleştirin.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --secret-archive-settings identity-type="SystemAssignedIdentity" \
     vault-uri="https://keyvaultname.vault.azure.net/"

Örnek 4: Bu örnek, SAMI kullanarak üç kaynağı tek bir güncelleştirmede birleştirir.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --command-output-settings identity-type="SystemAssignedIdentity" \
     container-url="https://myaccount.blob.core.windows.net/mycontainer"
   --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
     identity-type="SystemAssignedIdentity" \
   --secret-archive-settings identity-type="SystemAssignedIdentity" \
     vault-uri="https://keyvaultname.vault.azure.net/"

API'ler aracılığıyla Küme kimliklerini güncelleştirme

Küme tarafından yönetilen kimlikler CLI aracılığıyla atanabilir. Kimliklerin atanma işlemi API çağrıları aracılığıyla yapılabilir. <APIVersion> Api'nin 2024-07-01 veya daha yeni bir sürümü olduğunu unutmayın.

  • Tüm yönetilen kimlikleri kaldırmak için şunları yürütür:

    az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body "{\"identity\":{\"type\":\"None\"}}"

  • Hem Kullanıcı tarafından atanan hem de Sistem tarafından atanan yönetilen kimlikler eklendiyse, Kullanıcı tarafından atanan öğesi olarak güncelleştirilerek typeSystemAssignedkaldırılabilir:

    az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json

    İstek gövdesi (uai-body.json) örneği:

    {
  "identity": {
      "type": "SystemAssigned"
  }
}

  • Hem Kullanıcı tarafından atanan hem de Sistem tarafından atanan yönetilen kimlikler eklendiyse, Sistem tarafından atanan öğesi olarak güncelleştirilerek typeUserAssignedkaldırılabilir:

    az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json

    İstek gövdesi (uai-body.json) örneği:

    {
  "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
  	    "/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": {}
      }
  }
}

  • Kullanıcı tarafından atanan birden çok yönetilen kimlik eklendiyse, bunlardan biri yürütülerek kaldırılabilir:

    az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json

    İstek gövdesi (uai-body.json) örneği:

    {
  "identity": {
      "type": "UserAssigned",
      "userAssignedIdentities": {
  	    "/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": null
      }
  }
}

Alan kullanımdan kaldırılanlar ve yerine geçenler

Bu bölüm, kullanım dışı bırakılan kaynak alanları ve bunların değiştirmeleri için bir başvurudur. Küme Yöneticisi'nin, kullanım dışı bırakılmış anahtar kasası yöntemi için kullanılan yönetilen kimliği hariç, tüm alanlar Küme kaynağında bulunur. Bu listede, kümede kaynağın yönetilen kimliğine karşılık gelen ilişkili bir yönetilen kimliğin tanımlandığı da varsayılır.

identity-resource-id yalnızca UAMI kullanırken gereklidir. Kaynak için SAMI kullanılıyorsa belirtilmemelidir.

Depolama Hesabı

Kullanım Dışı Bırakılan Alanlar: YOK

Alanları Değiştirme:

command-output-settings:
  container-url
  identity-type
  identity-resource-id

Notlar: Küme Yöneticisi depolama hesabı bugün otomatik olarak oluşturulduğundan ve kullanıcı girişi gerektirmediğinden kullanım dışı bırakılan Alanlar Yok olur.

Anahtar Kasası (Key Vault)

Kullanım Dışı Bırakılan Alanlar:

cluster-secret-archive:
  use-key-vault
  key-vault-id

Küme Yöneticisi yönetilen kimliği

Alanları Değiştirme:

secret-archive-settings:
  vault-uri
  identity-type
  identity-resource-id

Notlar:vault-uri içerisindeki secret-archive-settings , belirtilen Key Vault'un URI'si ile key-vault-id için belirtilmiş Azure Resource Manager (ARM) kaynak kimliğidir. Küme Yöneticisi için belirtilen yönetilen kimlik Kümede kullanılabilir.

Log Analytics Çalışma Alanı

Kullanım Dışı Bırakılan Alanlar:analytics-workspace-id

Alanları Değiştirme:

analytics-output-settings:
  analytics-workspace-id
  identity-type
  identity-resource-id

Notlar: Giriş biçimi (LAW ARM kaynak kimliği), kullanım dışı bırakılan analytics-workspace-id alan ile analytics-workspace-id içindeki analytics-output-settingsarasında aynıdır.