Share via

المفاتيح المدارة من قبل العملاء في Azure Managed Instance ل Apache Cassandra

  • مقالة

في Azure Managed Instance ل Apache Cassandra، يمكنك استخدام المفتاح الخاص بك لتشفير البيانات على القرص. توضح هذه المقالة كيفية تنفيذ المفاتيح التي يديرها العميل باستخدام Azure Key Vault.

المتطلبات الأساسية

  • إعداد سر باستخدام Azure Key Vault. لمزيد من المعلومات، راجع حول أسرار Azure Key Vault.

  • نشر شبكة ظاهرية في مجموعة الموارد الخاصة بك.

  • تطبيق دور مساهم الشبكة مع كيان خدمة Azure Cosmos DB كعضو. استخدم أمر التالي:

        az role assignment create \
    --assignee a232010e-820c-4083-83bb-3ace5fc29d0b \
    --role 4d97b98b-1d4f-4787-a291-c67834d212e7 \
    --scope /subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>

    يساعدك تطبيق الدور المناسب على شبكتك الظاهرية على تجنب الفشل عند نشر Azure Managed Instance لنظام مجموعة Apache Cassandra. لمزيد من المعلومات، راجع إنشاء مثيل مدار من Azure لمجموعة Apache Cassandra باستخدام Azure CLI.

تتطلب هذه المقالة الإصدار 2.30.0 من Azure CLI أو أحدث. إذا كنت تستخدم Azure Cloud Shell، فإن أحدث إصدار مثبت بالفعل.

إنشاء نظام مجموعة بهوية معينة من قبل النظام

  1. إنشاء نظام مجموعة باستخدام الأمر التالي. استبدل <subscriptionID>و <vnetName><resourceGroupName>و بالقيم <subnetName> المناسبة.

    subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"
cluster="thvankra-cmk-test-wcus"
group="thvankra-nova-cmk-test"
region="westcentralus"
password="PlaceholderPassword"

az managed-cassandra cluster create \
    --identity-type SystemAssigned \
    --resource-group $group \
    --location $region \
    --cluster-name $cluster \
    --delegated-management-subnet-id $subnet \
    --initial-cassandra-admin-password $password

  2. الحصول على معلومات الهوية لنظام المجموعة الذي تم إنشاؤه:

    az managed-cassandra cluster show -c $cluster -g $group

    يتضمن الإخراج قسم هوية مثل المثال التالي. انسخ principalId القيمة لاستخدامها لاحقا.

      "identity": {
    "principalId": "1aa51c7f-196a-4013-a656-1ccabfdc54e0",
    "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
    "type": "SystemAssigned"
  }

  3. في مدخل Microsoft Azure، انتقل إلى key vault وحدد Access policies. ثم حدد إضافة نهج الوصول لإنشاء نهج وصول لمفاتيحك.

    Screenshot that shows the pane for access policies in the Azure portal.

  4. بالنسبة إلى أذونات المفتاح، حدد get و wrap و unwrap. حدد المربع Select principal لفتح الجزء Principal. أدخل قيمة نظام المجموعة principalId التي قمت باستردادها سابقا، ثم حدد الزر تحديد . (في المدخل، يمكنك أيضا البحث عن المعرف الأساسي للمجموعة بواسطة اسم نظام المجموعة.)

    Screenshot that shows an example of adding a principal for an access policy.

    تحذير

    تأكد من تشغيل حماية التطهير في مخزن المفاتيح. ستفشل عمليات نشر مركز البيانات بدونها.

  5. حدد إضافة لإضافة نهج الوصول، ثم حدد حفظ.

    Screenshot that shows the button for saving an access policy.

  6. للحصول على معرف المفتاح، حدد المفاتيح، ثم حدد المفتاح الخاص بك.

    Screenshot that shows the pane for selecting a key.

  7. حدد الإصدار الحالي.

    Screenshot that shows the box for selecting the current version of a key.

  8. احفظ معرف المفتاح لاستخدامه لاحقا.

    Screenshot that shows copying a key identifier to the clipboard.

  9. قم بإنشاء مركز البيانات عن طريق استبدال <key identifier> بنفس المفتاح (URI الذي نسخته في الخطوة السابقة) لكل من تشفير القرص المدار (managed-disk-customer-key-uri) وتخزين النسخ الاحتياطي (backup-storage-customer-key-uri). استخدم نفس القيمة التي subnet استخدمتها سابقا.

    managedDiskKeyUri = "<key identifier>"
backupStorageKeyUri = "<key identifier>"
group="thvankra-nova-cmk-test"
region="westcentralus"
cluster="thvankra-cmk-test-2"
dc="dc1"
nodecount=3
subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"

az managed-cassandra datacenter create \
    --resource-group $group \
    --cluster-name $cluster \
    --data-center-name $dc \
    --managed-disk-customer-key-uri $managedDiskKeyUri \
    --backup-storage-customer-key-uri $backupStorageKeyUri \
    --node-count $nodecount \
    --delegated-subnet-id $subnet \
    --data-center-location $region \
    --sku Standard_DS14_v2

يمكنك أيضا تعيين هوية إلى مجموعة موجودة بدون معلومات هوية:

az managed-cassandra cluster update --identity-type SystemAssigned -g $group -c $cluster

تدوير المفتاح

لتحديث المفتاح، استخدم هذا الأمر:

managedDiskKeyUri = "<key identifier>"
backupStorageKeyUri = "<key identifier>"
    
az managed-cassandra datacenter update \
    --resource-group $group \
    --cluster-name $cluster \ 
    --data-center-name $dc \
    --managed-disk-customer-key-uri $managedDiskKeyUri \
    --backup-storage-customer-key-uri $backupStorageKeyUri