你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Batch 池中配置托管标识
Azure 资源的托管标识通过为 Microsoft Entra ID (Azure AD ID) 中的 Azure 资源提供标识,使得标识和凭据管理不再复杂。 此标识可用于获取 Microsoft Entra 令牌,以对 Azure 中的目标资源进行身份验证。
本主题介绍如何在 Batch 池上启用用户分配的托管标识,以及如何在节点内使用托管标识。
重要
只能使用 Batch 管理平面 API 或 SDK 通过 Entra 身份验证创建具有托管标识的池。 无法使用 Batch 服务 API 或 SDK 创建具有托管标识的池。 有关详细信息,请参阅 Batch API 和工具的概述文档。
创建用户分配的托管标识
首先,在与 Batch 帐户相同的租户中创建用户分配的托管标识。 可以使用 Azure 门户、Azure 命令行接口 (Azure CLI)、PowerShell、Azure 资源管理器或 Azure REST API 创建标识。 此托管标识无需位于同一资源组中,甚至不需要位于同一订阅中。
提示
为批处理帐户创建的用于客户数据加密的系统分配托管标识不能用作批处理池上的用户分配托管标识。 如果要在批处理帐户和批处理池上使用相同的托管标识,请改用通用的用户分配托管标识。
创建包含用户分配的托管标识的 Batch 池
创建一个或多个用户分配的托管标识后,可以创建具有此标识或这些标识的 Batch 池。 您可以:
警告
池具有活动节点时,不支持池托管标识的就地更新。 现有计算节点不会随更改一起更新。 建议在修改标识集合之前将池缩减至零,以确保所有 VM 都分配有相同的标识集。
在 Azure 门户中创建 Batch 池
通过 Azure 门户创建包含用户分配的托管标识的 Batch 池:
- 登录 Azure 门户。
- 在搜索栏中,输入并选择“Batch 帐户”。
- 在“Batch 帐户”页上,选择要在其中创建 Batch 池的 Batch 帐户。
- 在 Batch 帐户菜单中的“功能”下,选择“池”。
- 在“池”菜单中,选择“添加”以添加新的 Batch 池。
- 对于“池 ID”,请输入池的标识符。
- 对于“标识”,请将设置更改为“用户分配”。
- 在“用户分配的托管标识”下,选择“添加”。
- 选择要使用的一个或多个用户分配的托管标识。 然后选择“添加”。
- 在“操作系统”下,选择要使用的发布者、产品/服务和 SKU。
- 根据需要,在容器注册表中启用托管标识:
- 对于“容器配置”,请将设置更改为“自定义”。 然后,选择自定义配置。
- 对于“启动任务”,请选择“已启用”。 然后,选择“资源文件”并添加存储容器信息。
- 启用“容器设置”。
- 将“容器注册表”更改为“自定义”
- 对于“标识参考”,请选择存储容器。
使用 .NET 创建 Batch 池
要使用 Batch .NET 管理库创建包含用户分配的托管标识的 Batch 池,请使用以下示例代码:
var poolParameters = new Pool(name: "yourPoolName")
{
VmSize = "standard_d2_v3",
ScaleSettings = new ScaleSettings
{
FixedScale = new FixedScaleSettings
{
TargetDedicatedNodes = 1
}
},
DeploymentConfiguration = new DeploymentConfiguration
{
VirtualMachineConfiguration = new VirtualMachineConfiguration(
new ImageReference(
"Canonical",
"0001-com-ubuntu-server-jammy",
"22_04-lts",
"latest"),
"batch.node.ubuntu 22.04")
},
Identity = new BatchPoolIdentity
{
Type = PoolIdentityType.UserAssigned,
UserAssignedIdentities = new Dictionary<string, UserAssignedIdentities>
{
["Your Identity Resource Id"] =
new UserAssignedIdentities()
}
}
};
var pool = await managementClient.Pool.CreateWithHttpMessagesAsync(
poolName:"yourPoolName",
resourceGroupName: "yourResourceGroupName",
accountName: "yourAccountName",
parameters: poolParameters,
cancellationToken: default(CancellationToken)).ConfigureAwait(false);
在 Batch 节点中使用用户分配的托管标识
许多可直接在计算节点上访问其他 Azure 资源(如 Azure 存储或 Azure 容器注册表)的 Azure Batch 功能支持使用托管标识。 如需进一步了解如何在 Azure Batch 中使用托管标识,请参阅以下链接:
你还可以手动配置任务,以便托管标识可以直接访问支持托管标识的 Azure 资源。
在 Batch 节点中,你可以获取托管标识令牌,并使用它们通过 Azure 实例元数据服务进行 Microsoft Entra 身份验证。
对于 Windows,用于获取进行身份验证的访问令牌的 PowerShell 脚本是:
$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}
对于 Linux,Bash 脚本是:
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true
有关详细信息,请参阅如何在 Azure VM 上使用 Azure 资源的托管标识获取访问令牌。
后续步骤
- 详细了解 Azure 资源的托管标识。
- 了解如何配合使用客户管理的密钥和用户管理的标识。
- 了解如何在 Batch 池中启用自动证书轮换。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈