將 Batch 帳戶憑證移轉至 Azure Key Vault
在 2024 年 2 月 29 日,將淘汰 Azure Batch 帳戶憑證功能。 了解如何使用本文中的 Azure Key Vault,移轉 Azure Batch 帳戶上的憑證。
關於功能
在各種案例中經常需要憑證,例如解密祕密、保護通道,或存取另一個服務。 目前,Azure Batch 提供兩個方式來管理 Batch 集區上的憑證。 您可以將憑證新增至 Batch 帳戶,或使用 Azure Key Vault VM 延伸模組來管理 Batch 集區上的憑證。 只有 Azure Batch 帳戶上的憑證功能及其透過 CertificateReference
延伸至 Batch 集區的功能,到新增集區、修補集區、更新屬性,以及取得和列出集區 API 上對應的參考的功能,才會遭到淘汰。 此外,針對 Linux 集區,將不再定義及填入環境變數 $AZ_BATCH_CERTIFICATES_DIR
。
功能終止支援
Azure Key Vault 是跨 Azure 安全地儲存和存取祕密和憑證的標準建議機制。 因此,在 2024 年 2 月 29 日,我們將淘汰 Azure Batch 中的 Batch 帳戶憑證功能。 替代方式是使用 Azure Key Vault VM 延伸模組和集區上使用者指派的受控識別,以在 Batch 集區上安全地存取和安裝憑證。
Azure Batch 中的憑證功能在 2024 年 2 月 29 日淘汰之後,Batch 中的憑證將無法如預期般運作。 在該日期之後,您將無法再將憑證新增至 Batch 帳戶,或將這些憑證連結至 Batch 集區。 在此日期之後繼續使用此功能的集區可能無法如預期運作,例如更新憑證參考或安裝現有憑證參考的能力。
替代方式:使用 Azure Key Vault VM 延伸模組搭配集區使用者指派的受控識別
Azure Key Vault 是完全受控的 Azure 服務,可提供受控存取,以儲存和管理祕密、憑證、權杖和金鑰。 Key Vault 藉由確保從金鑰保存庫到用戶端應用程式的任何資料流程都會加密,在傳輸層提供安全性。 Azure Key Vault 可讓您安全地儲存基本存取資訊,以及設定更精細的存取控制。 您可以從一個儀表板管理所有祕密。 選擇將金鑰儲存在使用軟體保護或使用硬體保護的硬體安全性模組 (HSM) 中。 您也可以將 Key Vault 設定為自動續約憑證。
如需如何使用集區使用者指派的受控識別來啟用 Azure Key Vault VM 延伸模組的完整指導,請參閱在 Batch 集區中啟用自動憑證輪替。
常見問題集
CloudServiceConfiguration
集區是否在集區上支援 Azure Key Vault VM 延伸模組和受控識別?否。
CloudServiceConfiguration
集區將於 2024 年 2 月 29 日 Azure Batch 帳戶憑證淘汰的相同日期淘汰。 建議您在該日期之前移轉至VirtualMachineConfiguration
集區,讓您能夠使用這些解決方案。使用者訂用帳戶集區配置 Batch 帳戶是否支援 Azure Key Vault?
是。 您可以使用與使用 Batch 帳戶指定的相同 Key Vault 來搭配您的集區使用,但用於 Batch 集區憑證的 Key Vault 可能完全不同。
金鑰保存庫 VM 延伸模組是否同時支援 Linux 和 Windows Batch 集區?
您可以使用金鑰保存庫 VM 延伸模組,來更新現有的集區嗎?
否,您無法在集區上更新這些屬性。 您需要重新建立集區。
因為
$AZ_BATCH_CERTIFICATES_DIR
將會遭到移除,我該如何取得 Linux Batch 集區上憑證的參考?適用於 Linux 的金鑰保存庫 VM 延伸模組可讓您指定
certificateStoreLocation
,這是憑證儲存所在的絕對路徑。 金鑰保存庫 VM 延伸模組會只使用超級使用者 (根) 權限,為安裝在指定位置的憑證設定範圍。 您必須確定工作預設會以提高權限的方式執行以存取這些憑證,或將憑證直接複製到可存取的位置,和/或使用適當檔案模式調整憑證檔案。 您可以在提升權限的啟動工作或作業準備工作中執行這類命令。如何安裝不包含私密金鑰的
.cer
檔案?金鑰保存庫不會將這些檔案視為特殊權限,因為其不包含私密金鑰資訊。 您可以使用下列任一方法來安裝
.cer
檔案。 使用金鑰保存庫祕密搭配相關聯使用者指派受控識別的適當存取權限,並在啟動工作裝安裝時擷取.cer
檔案。 或者,將.cer
檔案儲存為 Azure 儲存體 Blob,並在要安裝的啟動工作中將參考儲存為 Batch 資源檔。如何存取工作層級非系統管理員自動使用者集區身分識別的金鑰保存庫延伸模組已安裝的憑證?
工作層級自動使用者是隨選建立的,無法預先定義,以指定至金鑰保存庫 VM 延伸模組中的
accounts
屬性。 您將需要自訂程序,以將所需的憑證匯出至常用存放區或適當設定 ACL,以供工作層級自動使用者存取。可以在哪裡尋找使用 Azure Key Vault 的最佳做法?
請參閱 Azure Key Vault 最佳做法。
下一步
如需詳細資訊,請參閱 Key Vault憑證存取控制。 如需此移轉相關的 Batch 功能的詳細資訊,請參閱 Azure Batch 集區擴充功能和 Azure Batch 集區受控識別。