你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure IoT 操作使用 Azure Key Vault 作为云端的托管保管库解决方案,同时使用 Kubernetes 的 Azure Key Vault 机密存储扩展将机密从云端同步下来并将其作为 Kubernetes 机密存储在边缘。
重要
遵循最佳做法来保护与 Azure IoT Operations 一起使用的 Azure Key Vault。 确保 Key Vault 的安全性对于保护机密至关重要。 有关如何保护 Azure Key Vault 的详细指南,请参阅 有关使用 Azure Key Vault 的最佳做法。
先决条件
使用机密设置部署的 Azure IoT 操作实例。 如果已使用测试设置部署了 Azure IoT 操作,而现在想要使用机密,则需先启用安全设置。
在密钥保险库中创建机密需要资源级别的“机密主管”权限。 有关向用户分配角色的信息,请参阅分配 Azure 角色的步骤。
添加和使用机密
Azure IoT 操作的机密管理使用机密存储扩展从 Azure Key Vault 同步机密并将其作为 Kubernetes 机密存储在边缘。 在部署期间启用安全设置时,你选择了 Azure Key Vault 进行机密管理。 要在 Azure IoT 操作中使用的所有机密都存储在这个 Key Vault 中。
注意
Azure IoT 操作实例仅与一个 Azure Key Vault 配合使用,不支持单个实例有多个密钥保管库。
设置机密管理步骤完成后,可以开始将机密添加到 Azure Key Vault,并使用作体验 Web UI 将其同步到 Kubernetes 群集,以在资产终结点或数据流终结点中使用。
机密用在资产终结点和数据流终结点中进行身份验证。 本部分使用资产终结点作为示例。 同一进程可以应用于数据流终结点。 可以选择直接在 Azure Key Vault 中创建机密,并将其自动同步到群集,或使用密钥保管库中的现有机密引用:
转到作体验 Web UI 中的“资产终结点”页。
若要添加新的机密引用,请在创建新资产终结点时选择 “添加引用 ”:
创建新机密:在 Azure Key Vault 中创建机密引用,并使用机密存储扩展自动将机密同步到群集。 如果事先没有在密钥保管库中创建此场景所需的机密,请使用此选项。
从 Azure Key Vault 添加:如果之前未同步密钥保管库,请将 Key Vault 中的现有机密同步到群集。 选择此选项会显示所选密钥保管库中的机密引用列表。 如果事先在密钥保管库中创建了机密,请使用此选项。 仅将最新版本的机密同步到群集。
将用户名和密码引用添加到资产终结点或数据流终结点时,需要为同步的机密命名。 机密引用将保存在群集中,此给定名称作为一个机密同步资源。 在以下示例的屏幕截图中,用户名和密码引用以 edp1secrets 的形式保存到群集。
管理同步的机密
本部分使用资产终结点作为示例。 同一进程可以应用于数据流终结点:
转到作体验 Web UI 中的“资产终结点”页。
若要查看机密列表,请选择“ 管理证书和机密 ”,然后选择 “机密”:
可以使用“ 机密 ”页在资产终结点和数据流终结点中查看同步的机密。 “机密”页显示你正在查看的资源边缘上所有当前同步的机密的列表。 同步的机密代表一个或多个机密引用,具体取决于使用它的资源。 应用于已同步机密的任何操作都将应用于已同步机密中包含的所有机密引用。
还可以在 “机密 ”页中删除同步的机密。 删除同步的机密时,它只会从 Kubernetes 群集中删除同步的机密,并且不会从 Azure Key Vault 中删除包含的机密引用。 必须从密钥保管库中手动删除证书机密。
警告
直接编辑 Kubernetes 群集中的 SecretProviderClass 和 SecretSync 自定义资源可以中断 Azure IoT 操作中的机密流。 对于与机密相关的任何操作,请使用操作体验 Web 界面。
在删除已同步的机密之前,请确保已从 Azure IoT 操作组件中删除对该机密的所有引用。