Migrieren von Batch-Kontozertifikaten zu Azure Key Vault
Am 29. Februar 2024 wird das Kontozertifikatfeature von Azure Batch eingestellt. In diesem Artikel erfahren Sie, wie Sie Ihre Zertifikate in Azure Batch-Konten mithilfe von Azure Key Vault migrieren.
Informationen zum Feature
Zertifikate werden häufig in verschiedenen Szenarien benötigt, z. B. zur Entschlüsselung eines Geheimnisses, zur Sicherung von Kommunikationskanälen oder für den Zugriff auf einen anderen Dienst. Derzeit bietet Azure Batch zwei Möglichkeiten zur Verwaltung von Zertifikaten für Batch-Pools. Sie können einem Batch-Konto Zertifikate hinzufügen oder Sie können die Azure Key Vault-VM-Erweiterung verwenden, um Zertifikate in Batch-Pools zu verwalten. Nur die Zertifikatsfunktionalität in einem Azure Batch-Konto und die Funktionalität, die es über CertificateReference
auf Batch-Pools erweitert, um Pools hinzuzufügen, Pools zu patchen und Eigenschaften zu aktualisieren, sowie die entsprechenden Verweise in den APIs zum Abrufen und Auflisten von Pools werden eingestellt. Darüber hinaus wird die Umgebungsvariable $AZ_BATCH_CERTIFICATES_DIR
für Linux-Pools nicht mehr definiert und aufgefüllt.
Supportende des Features
Azure Key Vault ist der standardmäßige, empfohlene Mechanismus für die sichere Speicherung von und den Zugriff auf Geheimnisse und Zertifikate in Azure. Daher werden wir am 29. Februar 2024 das Zertifikatfeature für Batch-Konten in Azure Batch einstellen. Die Alternative ist die Verwendung der Azure Key Vault-VM-Erweiterung und einer dem Benutzer zugewiesenen verwalteten Identität für den Pool, um sicher auf Zertifikate in Ihren Batch-Pools zuzugreifen und diese zu installieren.
Nach der Einstellung des Zertifikatfeatures in Azure Batch am 29. Februar 2024 wird ein Zertifikat in Batch nicht mehr wie erwartet funktionieren. Nach diesem Datum können Sie einem Batch-Konto keine Zertifikate mehr hinzufügen oder diese Zertifikate mit Batch-Pools verknüpfen. Pools, die dieses Feature nach diesem Datum weiterhin nutzen, verhalten sich möglicherweise nicht wie erwartet, z. B. bei der Aktualisierung von Zertifikatverweisen oder der Fähigkeit, vorhandene Zertifikatverweise zu installieren.
Alternative: Verwenden der VM-Erweiterung für Azure Key Vault mit der benutzerseitig zugewiesenen verwalteten Poolidentität
Azure Key Vault ist ein vollständig verwalteter Azure-Dienst, der kontrollierten Zugriff auf die Speicherung und Verwaltung von Geheimnissen, Zertifikaten, Token und Schlüsseln ermöglicht. Key Vault bietet Sicherheit auf der Transportebene, indem sichergestellt wird, dass jeder Datenfluss vom Schlüsseltresor zur Clientanwendung verschlüsselt ist. Azure Key Vault bietet Ihnen eine sichere Möglichkeit, wichtige Zugriffsinformationen zu speichern und eine differenzierte Zugriffssteuerung festzulegen. Sie können alle Geheimnisse über ein Dashboard verwalten. Sie können wählen, ob Sie einen Schlüssel in softwaregeschützten oder hardwaregeschützten Hardware-Sicherheitsmodulen (HSMs) speichern möchten. Sie können Key Vault auch so einstellen, dass Zertifikate automatisch erneuert werden.
Eine vollständige Anleitung zum Aktivieren der Azure Key Vault-VM-Erweiterung mit der vom Pool zugewiesenen verwalteten Identität finden Sie unter Aktivieren der automatischen Zertifikatrotation in einem Batch-Pool.
Häufig gestellte Fragen
Unterstützen
CloudServiceConfiguration
-Pools die Azure Key Vault-VM-Erweiterung und verwaltete Identität für Pools?Nein.
CloudServiceConfiguration
-Pools werden am 29. Februar 2024 gleichzeitig mit Azure Batch-Kontozertifikaten eingestellt. Es wird empfohlen, vor diesem Datum zuVirtualMachineConfiguration
-Pools zu migrieren, in denen Sie diese Lösungen verwenden können.Unterstützen Batch-Konten mit einer Benutzerabonnementpool-Zuteilung Azure Key Vault?
Ja. Sie können für Ihr Batch-Konto dieselbe Key Vault-Instanz verwenden wie für Ihre Pools, aber Ihre Key Vault-Instanz, die für die Zertifikate Ihrer Batch-Pools verwendet wird, kann eine völlig andere sein.
Werden sowohl Linux- als auch Windows-Batch-Pools mit der Key Vault-VM-Erweiterung unterstützt?
Ja. Weitere Informationen finden Sie in der Dokumentation für Windows und Linux.
Können Sie vorhandene Pools mit einer Key Vault-VM-Erweiterung aktualisieren?
Nein, diese Eigenschaften können nicht für den Pool aktualisiert werden. Sie müssen Pools neu erstellen.
Wie erhalte ich Verweise auf Zertifikate in Linux-Batch-Pools, da
$AZ_BATCH_CERTIFICATES_DIR
entfernt wird?Mit der Key Vault-VM-Erweiterung für Linux können Sie
certificateStoreLocation
angeben. Dies ist ein absoluter Pfad zum Speicherort des Zertifikats. Die Key Vault-VM-Erweiterung wird Zertifikate, die an dem angegebenen Speicherort mit nur Superuser-Berechtigungen (Stammberechtigungen) installiert sind, betrachten. Sie müssen sicherstellen, dass Ihre Aufgaben standardmäßig mit erhöhten Rechten auf diese Zertifikate ausgeführt werden, oder Sie kopieren die Zertifikate direkt und/oder passen die Zertifikatdateien mit den richtigen Dateimodi an. Sie können solche Befehle als Teil einer Aufgabe mit erhöhten Anfangs- oder Auftragsvorbereitungen ausführen.Wie installiere ich
.cer
-Dateien, die keine privaten Schlüssel enthalten?Key Vault betrachtet diese Dateien nicht als privilegierte Dateien, da sie keine privaten Schlüsselinformationen enthalten. Sie können
.cer
-Dateien mit einer der folgenden Methoden installieren. Verwenden Sie den Key Vault-Geheimschlüssel mit entsprechenden Zugriffsberechtigungen für die zugeordnete vom Benutzer zugewiesene verwaltete Identität, und rufen Sie die.cer
-Datei als Teil Ihrer Startaufgabe zur Installation ab. Alternativ können Sie die.cer
-Datei als Azure Storage Blob speichern und als Batchressourcendatei in Ihrer Startaufgabe referenzieren, um sie zu installieren.Wie kann ich auf installierte Zertifikate der Key Vault-Erweiterung für Nichtadmin-Poolidentitäten auf Aufgabenebene zugreifen?
Automatische Benutzer auf Aufgabenebene werden bei Bedarf erstellt und können nicht für die Angabe in der
accounts
-Eigenschaft in der Key Vault-VM-Erweiterung vordefiniert werden. Sie benötigen einen benutzerdefinierten Prozess, der das erforderliche Zertifikat in einen allgemein zugänglichen Speicher oder ACLs exportiert, die für den Zugriff durch automatische Benutzer auf Aufgabenebene geeignet sind.Wo finde ich bewährte Methoden für die Verwendung von Azure Key Vault?
Nächste Schritte
Weitere Informationen finden Sie unter Key Vault-Zertifikatzugriffssteuerung. Weitere Informationen zur Batch-Funktionalität im Zusammenhang mit dieser Migration finden Sie unter Azure Batch-Poolerweiterungen und Verwaltete Identität für Azure Batch-Pools.