Migrace certifikátů účtu Batch do Azure Key Vault

29. února 2024 bude funkce certifikátů účtů Azure Batch vyřazena. V tomto článku se dozvíte, jak migrovat certifikáty v účtech Azure Batch pomocí služby Azure Key Vault.

Informace o této funkci

Certifikáty se často vyžadují v různých scénářích, jako je dešifrování tajného klíče, zabezpečení komunikačních kanálů nebo přístup k jiné službě. Azure Batch v současné době nabízí dva způsoby správy certifikátů ve fondech Batch. Certifikáty můžete přidat do účtu Batch nebo můžete použít rozšíření virtuálního počítače služby Azure Key Vault ke správě certifikátů ve fondech Batch. Vyřadí se jenom funkce certifikátu v účtu Azure Batch a funkce, které rozšiřuje do fondů Batch, a to prostřednictvím přidání CertificateReference fondu, fondu oprav, aktualizací vlastností a odpovídajících odkazů na rozhraní API pro získání a výpis fondů. Kromě toho pro fondy Linuxu už nebude proměnná $AZ_BATCH_CERTIFICATES_DIR prostředí definována a naplněna.

Konec podpory funkce

Azure Key Vault je standardní a doporučený mechanismus pro bezpečné ukládání tajných kódů a certifikátů v Azure. Proto 29. února 2024 vyřadíme funkci certifikátů účtu Batch ve službě Azure Batch. Alternativou je použití rozšíření virtuálního počítače azure Key Vault a spravované identity přiřazené uživatelem ve fondu k bezpečnému přístupu a instalaci certifikátů do fondů Batch.

Po vyřazení funkce certifikátů ve službě Azure Batch 29. února 2024 nebude certifikát ve službě Batch fungovat podle očekávání. Po tomto datu už nebudete moct přidávat certifikáty do účtu Batch ani tyto certifikáty propojit s fondy batch. Fondy, které tuto funkci po tomto datu nadále používají, se nemusí chovat podle očekávání, například aktualizace odkazů na certifikát nebo možnost instalovat existující odkazy na certifikáty.

Alternativní řešení: Použití rozšíření virtuálního počítače služby Azure Key Vault se spravovanou identitou přiřazenou uživatelem ve fondu

Azure Key Vault je plně spravovaná služba Azure, která poskytuje řízený přístup k ukládání a správě tajných kódů, certifikátů, tokenů a klíčů. Key Vault poskytuje zabezpečení v přenosové vrstvě tím, že zajišťuje šifrování všech toků dat z trezoru klíčů do klientské aplikace. Azure Key Vault poskytuje bezpečný způsob, jak ukládat základní informace o přístupu a nastavit jemně odstupňované řízení přístupu. Všechny tajné kódy můžete spravovat z jednoho řídicího panelu. Vyberte, jestli chcete klíč uložit do modulů hardwarového zabezpečení chráněných softwarem nebo hardwarového zabezpečení( HSM). Službu Key Vault můžete také nastavit na automatické obnovení certifikátů.

Kompletní průvodce povolením rozšíření virtuálního počítače služby Azure Key Vault se spravovanou identitou přiřazenou uživatelem ve fondu najdete v tématu Povolení automatické obměny certifikátů ve fondu Batch.

Nejčastější dotazy k

• Podporují CloudServiceConfiguration fondy rozšíření virtuálního počítače azure Key Vault a spravovanou identitu ve fondech?

  Ne. CloudServiceConfiguration fondy budou vyřazeny ze stejného data jako vyřazení certifikátu účtu Azure Batch 29. února 2024. Doporučujeme migrovat do VirtualMachineConfiguration fondů před tímto datem, kdy budete moct tato řešení používat.

• Podporují účty Batch přidělení fondu předplatného uživatele službu Azure Key Vault?

  Ano. Můžete použít stejnou službu Key Vault, jakou jste zadali s účtem Batch jako pro použití s fondy, ale služba Key Vault používaná pro certifikáty pro fondy Batch může být zcela oddělená.

• Podporují se fondy Linuxu i Služby Windows Batch s rozšířením virtuálního počítače služby Key Vault?

  Ano. Viz dokumentace pro Windows a Linux.

• Můžete aktualizovat existující fondy rozšířením virtuálního počítače služby Key Vault?

  Ne, tyto vlastnosti se neaktualizují ve fondu. Musíte znovu vytvořit fondy.

• Návody získat odkazy na certifikáty ve fondech dávek Linuxu, protože $AZ_BATCH_CERTIFICATES_DIR se odeberou?

  Rozšíření virtuálního počítače služby Key Vault pro Linux umožňuje zadat certificateStoreLocation, což je absolutní cesta k umístění, kde se certifikát ukládá. Rozšíření virtuálního počítače služby Key Vault bude oborem certifikátů nainstalovaných v zadaném umístění pouze s oprávněními superuživatele (root). Potřebujete zajistit, aby vaše úlohy spouštěly zvýšené oprávnění pro přístup k těmto certifikátům ve výchozím nastavení, nebo tyto certifikáty zkopírujte přímo do přístupného souboru nebo upravte soubory certifikátů se správnými režimy souborů. Takové příkazy můžete spustit jako součást úkolu zahájení se zvýšenými oprávněními nebo úlohy přípravy úlohy.

• Návody nainstalovat .cer soubory, které neobsahují privátní klíče?

  Key Vault tyto soubory nepovažuje za privilegované, protože neobsahují informace o privátním klíči. Soubory můžete nainstalovat .cer pomocí některé z následujících metod. Tajné kódy služby Key Vault s příslušnými přístupovými oprávněními pro přidruženou spravovanou identitu přiřazenou uživatelem a načtěte .cer soubor jako součást spouštěcí úlohy, která se má nainstalovat. Případně soubor uložte .cer jako objekt blob služby Azure Storage a odkazujte na ho jako soubor prostředků batch ve spouštěcí úloze, který chcete nainstalovat.

• Návody získat přístup k nainstalovaným certifikátům rozšíření Key Vault pro identity fondu automatického uživatele na úrovni úloh?

  Autouživatelé na úrovni úloh se vytvářejí na vyžádání a není možné je předdefinovat pro zadání do accounts vlastnosti v rozšíření virtuálního počítače služby Key Vault. Budete potřebovat vlastní proces, který exportuje požadovaný certifikát do běžně přístupného úložiště nebo seznamů ACL odpovídajícím způsobem pro přístup automatickým uživatelům na úrovni úloh.

• Kde najdu osvědčené postupy pro používání služby Azure Key Vault?

  Prohlédněte si osvědčené postupy pro Azure Key Vault.

Další kroky

Další informace najdete v tématu Řízení přístupu k certifikátům služby Key Vault. Další informace o funkcích služby Batch souvisejících s touto migrací najdete v tématu Rozšíření fondu Azure Batch a spravovaná identita fondu Azure Batch.