Aktifkan rotasi sertifikat otomatis di kumpulan Batch
Anda dapat membuat kumpulan Batch dengan sertifikat yang dapat diperpanjang secara otomatis. Untuk melakukannya, kumpulan Anda harus dibuat dengan identitas terkelola yang ditetapkan pengguna yang memiliki akses ke sertifikat di Azure Key Vault.
Membuat identitas terkelola yang ditetapkan pengguna
Pertama, buat identitas terkelola yang ditetapkan pengguna di penyewa yang sama dengan akun Batch Anda. Identitas terkelola ini tidak perlu berada dalam grup sumber daya yang sama atau bahkan dalam langganan yang sama.
Pastikan untuk mencatat ID Klien terkelola yang ditetapkan pengguna. Anda memerlukan nilai ini nanti.
Membuat sertifikat Anda
Selanjutnya, Anda perlu membuat sertifikat dan menambahkannya ke Azure Key Vault. Jika Anda belum membuat brankas kunci, Anda harus melakukannya terlebih dahulu. Untuk instruki, lihat Mulai cepat: mengatur dan mengambil sertifikat dari Azure Key Vault menggunakan portal Microsoft Azure.
Saat membuat sertifikat Anda, pastikan untuk mengatur Tipe Tindakan Seumur Hidup untuk memperbarui secara otomatis, dan tentukan jumlah hari setelah sertifikat harus diperpanjang.
Setelah sertifikat Anda dibuat, catat Pengidentifikasi Rahasianya. Anda memerlukan nilai ini nanti.
Menambahkan kebijakan akses di Vault Kunci Azure
Di kubah utama Anda, tetapkan kebijakan akses Vault Utama yang memungkinkan identitas terkelola yang ditetapkan pengguna untuk mengakses rahasia dan sertifikat. Untuk instruksi mendetail, lihat Menetapkan kebijakan akses Vault Utama menggunakan portal Azure.
Buat kumpulan Batch dengan identitas terkelola yang ditetapkan pengguna
Buat kumpulan Batch dengan identitas terkelola Anda dengan menggunakan pustaka manajemen .NET Batch. Untuk informasi selengkapnya, lihat Mengonfigurasi identitas terkelola di kumpulan Batch.
Tip
Kumpulan yang ada tidak dapat diperbarui dengan ekstensi VM Key Vault. Anda harus membuat ulang kumpulan Anda.
Contoh berikut menggunakan API REST Manajemen Batch untuk membuat kumpulan. Pastikan untuk menggunakan sertifikat Pengidentifikasi Rahasia Anda untuk observedCertificates dan identitas ID Klien terkelola Anda untuk msiClientId, menggantikan contoh data di bawah ini.
REST API URI
PUT https://management.azure.com/subscriptions/<subscriptionid>/resourceGroups/<resourcegroupName>/providers/Microsoft.Batch/batchAccounts/<batchaccountname>/pools/<poolname>?api-version=2021-01-01
Isi Permintaan untuk simpul Linux
{
"name": "test2",
"type": "Microsoft.Batch/batchAccounts/pools",
"properties": {
"vmSize": "STANDARD_DS2_V2",
"taskSchedulingPolicy": {
"nodeFillType": "Pack"
},
"deploymentConfiguration": {
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "canonical",
"offer": "ubuntuserver",
"sku": "20.04-lts",
"version": "latest"
},
"nodeAgentSkuId": "batch.node.ubuntu 20.04",
"extensions": [
{
"name": "KVExtensions",
"type": "KeyVaultForLinux",
"publisher": "Microsoft.Azure.KeyVault",
"typeHandlerVersion": "3.0",
"autoUpgradeMinorVersion": true,
"settings": {
"secretsManagementSettings": {
"pollingIntervalInS": "300",
"certificateStoreLocation": "/var/lib/waagent/Microsoft.Azure.KeyVault",
"requireInitialSync": true,
"observedCertificates": [
"https://testkvwestus2s.vault.azure.net/secrets/authcertforumatesting/8f5f3f491afd48cb99286ba2aacd39af"
]
},
"authenticationSettings": {
"msiEndpoint": "http://169.254.169.254/metadata/identity",
"msiClientId": "b9f6dd56-d2d6-4967-99d7-8062d56fd84c"
}
}
}
]
}
},
"scaleSettings": {
"fixedScale": {
"targetDedicatedNodes": 1,
"resizeTimeout": "PT15M"
}
}
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/042998e4-36dc-4b7d-8ce3-a7a2c4877d33/resourceGroups/ACR/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testumaforpools": {}
}
}
}
Isi Permintaan untuk simpul Windows
{
"name": "test2",
"type": "Microsoft.Batch/batchAccounts/pools",
"properties": {
"vmSize": "STANDARD_DS2_V2",
"taskSchedulingPolicy": {
"nodeFillType": "Pack"
},
"deploymentConfiguration": {
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "microsoftwindowsserver",
"offer": "windowsserver",
"sku": "2022-datacenter",
"version": "latest"
},
"nodeAgentSkuId": "batch.node.windows amd64",
"extensions": [
{
"name": "KVExtensions",
"type": "KeyVaultForWindows",
"publisher": "Microsoft.Azure.KeyVault",
"typeHandlerVersion": "3.0",
"autoUpgradeMinorVersion": true,
"settings": {
"secretsManagementSettings": {
"pollingIntervalInS": "300",
"requireInitialSync": true,
"observedCertificates": [
{
"url": "https://testkvwestus2s.vault.azure.net/secrets/authcertforumatesting/8f5f3f491afd48cb99286ba2aacd39af",
"certificateStoreLocation": "LocalMachine",
"keyExportable": true
}
]
},
"authenticationSettings": {
"msiEndpoint": "http://169.254.169.254/metadata/identity",
"msiClientId": "b9f6dd56-d2d6-4967-99d7-8062d56fd84c"
}
},
}
]
}
},
"scaleSettings": {
"fixedScale": {
"targetDedicatedNodes": 1,
"resizeTimeout": "PT15M"
}
},
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/042998e4-36dc-4b7d-8ce3-a7a2c4877d33/resourceGroups/ACR/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testumaforpools": {}
}
}
}
Memvalidasi sertifikat
Untuk mengonfirmasi bahwa sertifikat berhasil disebarkan, masuk ke simpul komputasi. Anda akan melihat output yang mirip dengan hal berikut:
root@74773db5fe1b42ab9a4b6cf679d929da000000:/var/lib/waagent/Microsoft.Azure.KeyVault.KeyVaultForLinux-1.0.1363.13/status# cat 1.status
[{"status":{"code":0,"formattedMessage":{"lang":"en","message":"Successfully started Key Vault extension service. 2021-03-03T23:12:23Z"},"operation":"Service start.","status":"success"},"timestampUTC":"2021-03-03T23:12:23Z","version":"1.0"}]root@74773db5fe1b42ab9a4b6cf679d929da000000:/var/lib/waagent/Microsoft.Azure.KeyVault.KeyVaultForLinux-1.0.1363.13/status#
Pemecahan Masalah Ekstensi Key Vault
Jika ekstensi Key Vault salah dikonfigurasi, simpul komputasi mungkin dalam keadaan dapat digunakan. Untuk memecahkan masalah kegagalan ekstensi Key Vault, Anda dapat mengatur requireInitialSync untuk sementara ke false dan menyebarkan ulang kumpulan Anda, lalu simpul komputasi dalam status diam, Anda dapat masuk ke simpul komputasi untuk memeriksa log ekstensi KeyVault untuk kesalahan dan memperbaiki masalah konfigurasi. Kunjungi tautan dokumen ekstensi Key Vault berikut untuk informasi selengkapnya.
Langkah berikutnya
- Pelajari selengkapnya tentang identitas terkelola untuk sumber daya Azure.
- Pelajari cara menggunakan kunci yang dikelola pelanggan melalui identitas yang dikelola pengguna.