Felügyelt identitások konfigurálása Batch-készletekben

Az Azure-erőforrások felügyelt identitásai szükségtelenné teszi a fejlesztők számára a hitelesítő adatok kezelését azáltal, hogy identitást biztosítanak az Azure-erőforráshoz az Azure Active Directory (Azure AD) szolgáltatásban, és Azure Active Directory (Azure AD) jogkivonatok beszerzésére használják.

Ez a témakör azt ismerteti, hogyan engedélyezheti a felhasználó által hozzárendelt felügyelt identitásokat a Batch-készletekben, és hogyan használhat felügyelt identitásokat a csomópontokon belül.

Fontos

A készleteket a virtuálisgép-konfigurációval kell konfigurálni a felügyelt identitások használatához.

Felügyelt identitásokkal rendelkező készletek létrehozása a Batch .NET felügyeleti könyvtárával végezhető el, de a Batch .NET ügyféloldali kódtárának használata jelenleg nem támogatott.

Felhasználó által hozzárendelt identitás létrehozása

Először hozza létre a felhasználó által hozzárendelt felügyelt identitást ugyanabban a bérlőben, mint a Batch-fiók. Az identitást a Azure Portal, az Azure Command-Line Interface (Azure CLI), a PowerShell, az Azure Resource Manager vagy az Azure REST API használatával hozhatja létre. Ennek a felügyelt identitásnak nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.

Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitásokkal

Miután létrehozott egy vagy több felhasználó által hozzárendelt felügyelt identitást, létrehozhat egy Batch-készletet az adott identitással vagy ezekkel az identitásokkal. A következőket teheti:

Batch-készlet létrehozása Azure Portal

Batch-készlet létrehozása felhasználó által hozzárendelt felügyelt identitással a Azure Portal keresztül:

  1. Jelentkezzen be az Azure Portalra.
  2. A keresősávon adja meg és válassza ki a Batch-fiókokat.
  3. A Batch-fiókok lapon válassza ki azt a Batch-fiókot, amelyben Batch-készletet szeretne létrehozni.
  4. A Batch-fiók menüjének Szolgáltatások területén válassza a Készletek lehetőséget.
  5. A Készletek menüben válassza a Hozzáadás lehetőséget új Batch-készlet hozzáadásához.
  6. Készletazonosítóként adja meg a készlet azonosítóját.
  7. Identitás esetén módosítsa a felhasználóhoz rendelt beállítást.
  8. A Felhasználó által hozzárendelt felügyelt identitás területen válassza a Hozzáadás lehetőséget.
  9. Válassza ki a felhasználó által hozzárendelt felügyelt identitást vagy identitásokat, amelyeket használni szeretne. Ezután válassza a Hozzáadás lehetőséget.
  10. Az Operációs rendszer területen válassza ki a használni kívánt közzétevőt, ajánlatot és termékváltozatot.
  11. Ha szeretné, engedélyezze a felügyelt identitást a tárolóregisztrációs adatbázisban:
    1. Tárolókonfiguráció esetén módosítsa a beállítást Egyéni értékre. Ezután válassza ki az egyéni konfigurációt.
    2. A Feladat indítása beállításnál válassza az Engedélyezve lehetőséget. Ezután válassza ki az Erőforrásfájlokat , és adja hozzá a tároló adatait.
    3. Tárolóbeállítások engedélyezése.
    4. Tárolóregisztrációs adatbázis módosítása egyénire
    5. Identitásra vonatkozó referenciaként válassza ki a tárolót.

Batch-készlet létrehozása .NET-tel

Ha felhasználó által hozzárendelt felügyelt identitással rendelkező Batch-készletet szeretne létrehozni a Batch .NET felügyeleti kódtárával, használja az alábbi példakódot:

var poolParameters = new Pool(name: "yourPoolName")
    {
        VmSize = "standard_d1_v2",
        ScaleSettings = new ScaleSettings
        {
            FixedScale = new FixedScaleSettings
            {
                TargetDedicatedNodes = 1
            }
        },
        DeploymentConfiguration = new DeploymentConfiguration
        {
            VirtualMachineConfiguration = new VirtualMachineConfiguration(
                new ImageReference(
                    "Canonical",
                    "UbuntuServer",
                    "18.04-LTS",
                    "latest"),
                "batch.node.ubuntu 18.04")
        },
        Identity = new BatchPoolIdentity
        {
            Type = PoolIdentityType.UserAssigned,
            UserAssignedIdentities = new Dictionary<string, UserAssignedIdentities>
            {
                ["Your Identity Resource Id"] =
                    new UserAssignedIdentities()
            }
        }
    };

var pool = await managementClient.Pool.CreateWithHttpMessagesAsync(
    poolName:"yourPoolName",
    resourceGroupName: "yourResourceGroupName",
    accountName: "yourAccountName",
    parameters: poolParameters,
    cancellationToken: default(CancellationToken)).ConfigureAwait(false);    

Felhasználó által hozzárendelt felügyelt identitások használata Batch-csomópontokban

Számos Azure Batch technológia, amely más Azure-erőforrásokhoz, például az Azure Storage vagy Azure Container Registry is hozzáfér, támogatja a felügyelt identitásokat. A felügyelt identitások Azure Batch való használatáról az alábbi hivatkozásokon talál további információt:

A feladatokat manuálisan is konfigurálhatja, hogy a felügyelt identitások közvetlenül hozzáférhessenek a felügyelt identitásokat támogató Azure-erőforrásokhoz.

A Batch-csomópontokon belül lekérheti a felügyelt identitás jogkivonatait, és felhasználhatja őket az Azure AD-hitelesítésen keresztüli hitelesítéshez az Azure Instance Metadata Szolgáltatáson keresztül.

A Windows esetében a PowerShell-szkript a következő hozzáférési jogkivonatot kér le a hitelesítéshez:

$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"} 

Linux esetén a Bash-szkript a következő:

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true

További információ: Azure-beli virtuális gépen lévő Azure-erőforrások felügyelt identitásainak használata hozzáférési jogkivonat beszerzéséhez.

Következő lépések