Sdílet prostřednictvím

Nastavení služby Key Vault pro obměnu spravovaných přihlašovacích údajů v operátoru Nexus

  • Článek

Azure Operator Nexus využívá tajné kódy a certifikáty ke správě zabezpečení komponent napříč platformou. Platforma Operator Nexus zpracovává rotaci těchto tajných kódů a certifikátů. Operátor Nexus ve výchozím nastavení ukládá přihlašovací údaje do spravované služby Key Vault. Aby se obměněné přihlašovací údaje zachovaly ve svém vlastním trezoru klíčů, musí uživatel nakonfigurovat vlastní službu Key Vault tak, aby přijímal obměněné přihlašovací údaje. Tato konfigurace vyžaduje, aby uživatel nakonfigurovali službu Key Vault pro instanci Azure Operator Nexus. Po vytvoření musí uživatel přidat přiřazení role ve službě Customer Key Vault, aby operátor Nexus Platform mohl napsat aktualizované přihlašovací údaje a dále propojit službu Customer Key Vault s prostředkem clusteru Nexus.

Požadavky

  • Nainstalujte nejnovější verzi příslušných rozšíření rozhraní příkazového řádku.
  • Získání ID předplatného pro předplatné zákazníka

Poznámka:

Jednu službu Key Vault je možné použít pro libovolný počet clusterů.

Konfigurace služby Key Vault s využitím spravované identity pro cluster

Poznámka:

Funkce spravované identity pro službu Key Vault a spravovaná identita clusteru existují s rozhraním API verze 2024-10-01-Preview a budou k dispozici s rozhraním GA API z 2025-02-01.

Informace o podpoře spravovaných identit a prostředků poskytovaných uživatelem najdete v podpoře clusteru Azure Operator Nexus.

Konfigurace služby Key Vault pomocí spravované identity pro Správce clusteru

Poznámka:

Tato metoda je zastaralá s uvedením rozhraní GA API z 2025-025-01. Přechodová doba je určená k podpoře migrace, ale stávající uživatelé by měli hledat migraci na použití spravované identity clusteru. Jakmile se cluster aktualizuje tak, aby používal nastavení tajného archivu a spravovanou identitu clusteru, spravovaná identita Správce clusteru se při obměně přihlašovacích údajů ignoruje.

Od verze rozhraní API z 2024-07-01 se spravované identity ve Správci clusteru používají k zápisu přístupu k doručování obměněných přihlašovacích údajů do trezoru klíčů. Identita Správce clusteru může být přiřazená systémem nebo přiřazena uživatelem a je možné ji spravovat přímo prostřednictvím rozhraní API nebo rozhraní příkazového řádku.

Informace o přiřazování spravovaných identit správci clusteru najdete v tématu Identita Správce clusteru.

Konfigurace archivu tajných kódů clusteru Nexus

Zaregistrujte službu Customer Key Vault jako tajný archiv clusteru Nexus. ID prostředku trezoru klíčů musí být nakonfigurované v clusteru a povoleno k ukládání tajných kódů clusteru.

Příklad:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Další nápovědu:

az networkcloud cluster update --secret-archive ?? --help

Získání ID objektu zabezpečení pro spravovanou identitu Správce clusteru

Jakmile je spravovaná identita nakonfigurovaná, pomocí rozhraní příkazového řádku zobrazte identitu a přidružená data ID objektu zabezpečení v rámci správce clusteru.

Příklad:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Příklad identity přiřazené systémem:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Příklad identity přiřazené uživatelem:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Informace o konfiguraci služby Key Vault pomocí spravované identity pro cluster pro přiřazení příslušné role k ID objektu zabezpečení spravované identity.