Felügyelt identitások konfigurálása Batch-készletekben
Az Azure-erőforrások felügyelt identitásai szükségtelenné teszi a fejlesztők számára a hitelesítő adatok kezelését azáltal, hogy identitást biztosítanak az Azure-erőforráshoz az Azure Active Directory (Azure AD) szolgáltatásban, és Azure Active Directory (Azure AD) jogkivonatok beszerzésére használják.
Ez a témakör azt ismerteti, hogyan engedélyezheti a felhasználó által hozzárendelt felügyelt identitásokat a Batch-készletekben, és hogyan használhat felügyelt identitásokat a csomópontokon belül.
Fontos
A készleteket a virtuálisgép-konfigurációval kell konfigurálni a felügyelt identitások használatához.
Felügyelt identitásokkal rendelkező készletek létrehozása a Batch .NET felügyeleti könyvtárával végezhető el, de a Batch .NET ügyféloldali kódtárának használata jelenleg nem támogatott.
Felhasználó által hozzárendelt identitás létrehozása
Először hozza létre a felhasználó által hozzárendelt felügyelt identitást ugyanabban a bérlőben, mint a Batch-fiók. Az identitást a Azure Portal, az Azure Command-Line Interface (Azure CLI), a PowerShell, az Azure Resource Manager vagy az Azure REST API használatával hozhatja létre. Ennek a felügyelt identitásnak nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.
Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitásokkal
Miután létrehozott egy vagy több felhasználó által hozzárendelt felügyelt identitást, létrehozhat egy Batch-készletet az adott identitással vagy ezekkel az identitásokkal. A következőket teheti:
- A Batch-készlet létrehozása a Azure Portal használatával
- A Batch -készlet létrehozása a Batch .NET felügyeleti könyvtárával
Batch-készlet létrehozása Azure Portal
Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitással a Azure Portal keresztül:
- Jelentkezzen be az Azure Portalra.
- A keresősávon adja meg és válassza ki a Batch-fiókokat.
- A Batch-fiókok lapon válassza ki azt a Batch-fiókot, amelyben Batch-készletet szeretne létrehozni.
- A Batch-fiók menüjének Szolgáltatások területén válassza a Készletek lehetőséget.
- A Készletek menüben válassza a Hozzáadás lehetőséget új Batch-készlet hozzáadásához.
- Készletazonosítóként adja meg a készlet azonosítóját.
- Identitás esetén módosítsa a felhasználóhoz rendelt beállítást.
- A Felhasználó által hozzárendelt felügyelt identitás területen válassza a Hozzáadás lehetőséget.
- Válassza ki a felhasználó által hozzárendelt felügyelt identitást vagy identitásokat, amelyeket használni szeretne. Ezután válassza a Hozzáadás lehetőséget.
- Az Operációs rendszer területen válassza ki a használni kívánt közzétevőt, ajánlatot és termékváltozatot.
- Ha szeretné, engedélyezze a felügyelt identitást a tárolóregisztrációs adatbázisban:
- Tárolókonfiguráció esetén módosítsa a beállítást Egyéni értékre. Ezután válassza ki az egyéni konfigurációt.
- A Feladat indítása beállításnál válassza az Engedélyezve lehetőséget. Ezután válassza ki az Erőforrásfájlokat , és adja hozzá a tároló adatait.
- Tárolóbeállítások engedélyezése.
- Tárolóregisztrációs adatbázis módosítása egyénire
- Identitásra vonatkozó referenciaként válassza ki a tárolót.
Batch-készlet létrehozása .NET-tel
Ha felhasználó által hozzárendelt felügyelt identitással rendelkező Batch-készletet szeretne létrehozni a Batch .NET felügyeleti kódtárával, használja az alábbi példakódot:
var poolParameters = new Pool(name: "yourPoolName")
{
VmSize = "standard_d1_v2",
ScaleSettings = new ScaleSettings
{
FixedScale = new FixedScaleSettings
{
TargetDedicatedNodes = 1
}
},
DeploymentConfiguration = new DeploymentConfiguration
{
VirtualMachineConfiguration = new VirtualMachineConfiguration(
new ImageReference(
"Canonical",
"UbuntuServer",
"18.04-LTS",
"latest"),
"batch.node.ubuntu 18.04")
},
Identity = new BatchPoolIdentity
{
Type = PoolIdentityType.UserAssigned,
UserAssignedIdentities = new Dictionary<string, UserAssignedIdentities>
{
["Your Identity Resource Id"] =
new UserAssignedIdentities()
}
}
};
var pool = await managementClient.Pool.CreateWithHttpMessagesAsync(
poolName:"yourPoolName",
resourceGroupName: "yourResourceGroupName",
accountName: "yourAccountName",
parameters: poolParameters,
cancellationToken: default(CancellationToken)).ConfigureAwait(false);
Felhasználó által hozzárendelt felügyelt identitások használata Batch-csomópontokban
Számos Azure Batch technológia, amely más Azure-erőforrásokhoz, például az Azure Storage vagy Azure Container Registry is hozzáfér, támogatja a felügyelt identitásokat. A felügyelt identitások Azure Batch való használatáról az alábbi hivatkozásokon talál további információt:
A feladatokat manuálisan is konfigurálhatja, hogy a felügyelt identitások közvetlenül hozzáférhessenek a felügyelt identitásokat támogató Azure-erőforrásokhoz.
A Batch-csomópontokon belül lekérheti a felügyelt identitás jogkivonatait, és felhasználhatja őket az Azure AD-hitelesítésen keresztüli hitelesítéshez az Azure Instance Metadata Szolgáltatáson keresztül.
A Windows esetében a PowerShell-szkript a következő hozzáférési jogkivonatot kér le a hitelesítéshez:
$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}
Linux esetén a Bash-szkript a következő:
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true
További információ: Azure-beli virtuális gépen lévő Azure-erőforrások felügyelt identitásainak használata hozzáférési jogkivonat beszerzéséhez.
Következő lépések
- További információ az Azure-erőforrások felügyelt identitásairól.
- Megtudhatja, hogyan használhatja az ügyfél által felügyelt kulcsokat felhasználó által felügyelt identitásokkal.
- Megtudhatja, hogyan engedélyezheti az automatikus tanúsítványrotációt egy Batch-készletben.