Supporto del cluster Nexus dell'operatore di Azure per le identità gestite e le risorse fornite dall'utente

Per migliorare la sicurezza della piattaforma Operator Nexus, le identità gestite sono ora supportate per i cluster Operator Nexus. Le identità gestite consentono alle applicazioni di accedere ad altre risorse di Azure e di eliminare la necessità per gli utenti di gestire le credenziali. Inoltre, Operator Nexus ha ora un modello di risorsa fornito dall'utente. Oltre a migliorare la sicurezza, questo cambiamento offre un'esperienza utente coerente nella piattaforma.

Le identità gestite vengono usate con le risorse utente seguenti fornite in Operator Nexus Clusters:

• Account di archiviazione usati per l'output dei comandi di run-* Bare Metal.
• Insiemi di credenziali delle chiavi usati per la rotazione delle credenziali.
• Aree di lavoro Log Analytics usate per acquisire alcune metriche.

Per altre informazioni sulle identità gestite in Azure, vedere Identità gestite per le risorse di Azure. I cluster Operator Nexus supportano più identità gestite assegnate dall'utente (UAMI) o un'identità gestita assegnata dal sistema (SAMI).

Anche se un utente può scegliere di usare uno dei due tipi di identità gestita, è consigliabile usare le interfacce utente. Consentono agli utenti di preconfigurare le risorse con l'accesso appropriato all'UAMI prima della creazione o dell'aggiornamento del cluster Nexus operatore. Lo stesso UAMI può essere usato per tutte le risorse o se gli utenti vogliono un accesso con granularità fine, possono definire interfacce UAMI per ogni risorsa.

Dopo l'aggiunta, l'identità può essere rimossa solo tramite la chiamata API in questo momento. Per informazioni sull'uso dell'API per aggiornare le identità gestite del cluster, vedere Aggiornare le identità del cluster. Questa sezione include informazioni sull'eliminazione delle identità gestite.

Prerequisiti

• Installare l'interfaccia da riga di comando di Azure.
• Installare la versione più recente delle estensioni dell'interfaccia della riga di comando di Azure appropriate.

Nota

La funzionalità di gestione delle identità per l'area di lavoro Log Analytics e l'insieme di credenziali delle chiavi esiste con l'API 2024-10-01-preview e sarà disponibile con l'API ga 2025-025.01.

Cluster Nexus operatore con identità gestite assegnate dall'utente (UAMI)

È consigliabile innanzitutto definire tutte le risorse fornite dall'utente (account di archiviazione, LEGGE e Key Vault), le identità gestite associate a tali risorse e quindi assegnare all'identità gestita l'accesso appropriato alla risorsa. Se questi passaggi non vengono eseguiti prima della creazione del cluster, è necessario completare i passaggi prima della distribuzione del cluster.

Gli effetti della mancata configurazione di queste risorse in base al tempo di distribuzione per un nuovo cluster sono i seguenti:

• Account di archiviazione: gli output dei comandi run-* non vengono scritti nell'account di archiviazione.
• LEGGE: la distribuzione del cluster non riesce perché la legge è necessaria per installare le estensioni software durante la distribuzione.
• Key Vault: le rotazioni delle credenziali hanno esito negativo perché è presente un controllo per garantire l'accesso in scrittura all'insieme di credenziali delle chiavi fornito dall'utente prima di eseguire la rotazione delle credenziali.

L'aggiornamento del cluster può essere eseguito in qualsiasi momento. La modifica delle impostazioni LAW potrebbe causare una breve interruzione dell'invio di metriche alla LEGGE perché le estensioni che usano la LEGGE potrebbero dover essere reinstallate.

La procedura seguente deve essere seguita per l'uso di interfacce utente con i cluster Nexus e le risorse associate.

1. Creare gli UAMI o le interfacce utente
2. Creare le risorse e assegnare l'UAMI alle risorse
3. Creare o aggiornare il cluster per usare identità gestite assegnate dall'utente e risorse fornite dall'utente

Creare gli UAMI o le interfacce utente

1. Creare le interfacce UAMI o UAMI per le risorse in questione. Per altre informazioni sulla creazione delle identità gestite, vedere Gestire le identità gestite assegnate dall'utente.

Creare le risorse e assegnare l'UAMI alle risorse

Configurazione degli account di archiviazione

1. Creare un account di archiviazione o identificare un account di archiviazione esistente che si vuole usare. Vedere Creare un account di archiviazione di Azure.
2. Creare un contenitore di archiviazione BLOB nell'account di archiviazione. Vedere Creare un contenitore.
3. Assegnare il Storage Blob Data Contributor ruolo agli utenti e all'UAMI che devono accedere all'output del comando run-*. Vedere Assegnare un ruolo di Azure per l'accesso ai dati BLOB.
4. Per limitare l'accesso all'account di archiviazione a un set selezionato di reti IP o virtuali, vedere Configurare firewall e reti virtuali Archiviazione di Azure.
   1. Gli indirizzi IP per tutti gli utenti che eseguono comandi run-* devono essere aggiunti agli elenchi e/o Firewall dell'account di Virtual Networks archiviazione.
   2. Assicurarsi che Allow Azure services on the trusted services list to access this storage account. in Exceptions sia selezionato.

Configurazione delle aree di lavoro Log Analytics

1. Creare un'area di lavoro Log Analytics (LAW) o identificare una LEGGE esistente da usare. Vedere Creare un'area di lavoro Log Analytics.
2. Assegnare il Log Analytics Contributor ruolo all'interfaccia utente per l'area di lavoro Log Analytics. Vedere Gestire l'accesso alle aree di lavoro Log Analytics.

Configurazione di Key Vault

1. Creare un insieme di credenziali delle chiavi o identificare un insieme di credenziali delle chiavi esistente che si vuole usare. Vedere Creare un insieme di credenziali delle chiavi.
2. Abilitare l'insieme di credenziali delle chiavi per il controllo degli accessi in base al ruolo .Enable the Key Vault for Role Based Controllo di accesso (RBAC). Vedere Abilitare le autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Key Vault.
3. Assegnare il Operator Nexus Key Vault Writer Service Role (Preview) ruolo all'UAMI per l'insieme di credenziali delle chiavi. Vedere Assegnare un ruolo.
   1. L'ID definizione del ruolo per il ruolo 44f0a1a8-6fea-4b35-980a-8ff50c487c97del servizio Writer Di Nexus Key Vault è . Questo formato è obbligatorio se si usa la riga di comando di Azure per eseguire l'assegnazione di ruolo.
4. Quando si usa un UAMI per accedere a un insieme di credenziali delle chiavi, è necessario effettuare il provisioning dell'accesso a tale identità per la piattaforma Nexus. In particolare, Microsoft.ManagedIdentity/userAssignedIdentities/assign/action l'autorizzazione deve essere aggiunta all'identità assegnata dall'utente per l'ID AFOI-NC-MGMT-PME-PROD Microsoft Entra. Si tratta di una limitazione nota della piattaforma che verrà risolta in futuro.
   1. Aprire il portale di Azure e individuare l'identità assegnata dall'utente in questione.
   2. In Controllo di accesso (IAM) selezionare Aggiungi assegnazione di ruolo.
   3. Selezionare Ruolo: Operatore identità gestita. Vedere le autorizzazioni fornite dal ruolo managed-identity-operator.
   4. Assegnare l'accesso a: Utente, gruppo o entità servizio.
   5. Selezionare Membro: applicazione AFOI-NC-MGMT-PME-PROD.
   6. Esaminare e assegnare.
5. Per limitare l'accesso all'insieme di credenziali delle chiavi a un set selezionato di reti IP o virtuali, vedere Configurare firewall e reti virtuali di Azure Key Vault.
   1. Gli indirizzi IP per tutti gli utenti che richiedono l'accesso all'insieme di credenziali delle chiavi devono essere aggiunti agli elenchi e/o Firewall dell'insieme di Virtual Networks credenziali delle chiavi.
   2. Verificare che l'opzione Allow trusted Microsoft services to bypass this firewall. under Exceptions sia selezionata.

Creare o aggiornare il cluster Nexus per usare identità gestite assegnate dall'utente e risorse fornite dall'utente

Definire gli UAMI(S) nel cluster

Quando si crea o si aggiorna un cluster con un'identità gestita assegnata dall'utente, usare il --mi-user-assigned parametro insieme all'ID risorsa dell'interfaccia utente. Se si desidera specificare più interfacce utente, elencare gli ID delle risorse delle interfacce utente con uno spazio tra di essi. Ogni UAMI usato per un insieme di credenziali delle chiavi, una legge o un account di archiviazione deve essere fornito in questo elenco.

Quando si crea il cluster, è possibile specificare le interfacce utente in --mi-user-assigned e definire anche le impostazioni delle risorse. Quando si aggiorna un cluster per modificare un oggetto UAMI, è necessario prima aggiornare il cluster per impostare i --mi-user-assigned valori e quindi aggiornare il cluster per modificare le impostazioni delle risorse per usarlo.

Impostazioni dell'account di archiviazione

Il --command-output-settings costrutto di dati viene usato per definire l'account di archiviazione in cui viene scritto l'output del comando di esecuzione. È costituito dagli elementi seguenti:

• container-url: URL del contenitore dell'account di archiviazione che deve essere usato dalle identità specificate.
• identity-resource-id: ID risorsa identità gestita assegnata dall'utente da usare. Si escludono a vicenda con un tipo di identità assegnato dal sistema.
• identity-type: tipo di identità gestita selezionata. Usare UserAssignedIdentity.

Impostazioni dell'area di lavoro Log Analytics

Il --analytics-output-settings costrutto di dati viene usato per definire la legge in cui vengono inviate le metriche. È costituito dagli elementi seguenti:

• analytics-workspace-id: ID risorsa dell'area di lavoro di analisi che deve essere usata dall'identità specificata.
• identity-resource-id: ID risorsa identità gestita assegnata dall'utente da usare. Si escludono a vicenda con un tipo di identità assegnato dal sistema
• identity-type: tipo di identità gestita selezionata. Usare UserAssignedIdentity.

Impostazioni di Key Vault

Il --secret-archive-settings costrutto di dati viene usato per definire l'insieme di credenziali delle chiavi in cui vengono scritte le credenziali ruotate. È costituito dagli elementi seguenti:

• identity-resource-id: ID risorsa identità gestita assegnata dall'utente da usare.
• identity-type: tipo di identità gestita selezionata. Usare UserAssignedIdentity.
• vault-uri: URI per l'insieme di credenziali delle chiavi usato come archivio segreto.

Esempi di comandi per la creazione di cluster

Esempio 1: questo esempio è un comando di creazione cluster abbreviato che usa un'interfaccia utente nell'account di archiviazione, LAW e Key Vault.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/"
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \

Esempio 2: questo esempio è un comando cluster create abbreviato che usa due interfacce utente. L'account di archiviazione e la legge usano il primo UAMI e l'insieme di credenziali delle chiavi usano il secondo.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/"
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI"

Esempi di aggiornamento del cluster

L'aggiornamento di un cluster è un processo in due passaggi. Se è necessario modificare l'UAMI per una risorsa, è prima necessario aggiornare il cluster per includerlo nel --mi-user-assigned campo e quindi aggiornare il corrispondente --identity-resource-id per l'account di archiviazione, LAW o Key Vault.

Se sono in uso più interfacce utente, è necessario specificare l'elenco completo delle interfacce utente nel campo durante l'aggiornamento --mi-user-assigned . Se un SAMI è in uso nel cluster e si aggiunge un UAMI, è necessario includere --mi-system-assigned nel comando di aggiornamento. Se non si includono identità gestite esistenti, tali identità vengono rimosse.

Per LAW e Key Vault, è possibile eseguire la transizione dai costrutti di dati esistenti ai nuovi costrutti che usano identità gestite tramite un aggiornamento del cluster.

Esempio 1: Aggiungere un oggetto UAMI a un cluster. Assegnare quindi l'UAMI alle impostazioni dell'archivio segreto (Key Vault). Se il cluster avesse definito un SAMI, l'istanza SAMI verrà rimossa.

Aggiornamento del cluster per aggiungere uAMI myUAMI.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \

Aggiornamento del cluster da assegnare myUAMI alle impostazioni dell'archivio segreto.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --secret-archive-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    vault-uri="https://keyvaultname.vault.azure.net/"

Esempio 2: aggiungere UAMI mySecondUAMI a un cluster che è myFirstUAMI già stato conservato. Aggiornare quindi il cluster per assegnare mySecondUAMI alle impostazioni di output del comando (account di archiviazione).

Aggiornamento del cluster per aggiungere l'interfaccia utente mySecondUAMI mantenendo myFirstUAMI.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \

Aggiornamento del cluster da assegnare mySecondUAMI alle impostazioni di output del comando.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container"

Esempio 3: aggiornare un cluster che dispone già di un SAMI e aggiungere un UAMI. L'istanza SAMI viene mantenuta. Assegnare quindi UAMI alle impostazioni di output di Log Analytics (LAW).

Attenzione

La modifica delle impostazioni LAW potrebbe causare una breve interruzione dell'invio di metriche alla LEGGE perché le estensioni che usano la LEGGE potrebbero dover essere reinstallate.

Aggiornamento del cluster per aggiungere uAMI mUAMI.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
   --mi-system-assigned

Aggiornamento del cluster da assegnare myUAMI alle impostazioni di output dell'analisi dei log.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI"

Visualizzare l'ID entità per l'identità gestita assegnata dall'utente

L'ID risorsa di identità è reperibile selezionando "Visualizzazione JSON" nella risorsa di identità; l'ID si trova nella parte superiore del pannello visualizzato. L'URL del contenitore è disponibile nella scheda Impostazioni -> Proprietà della risorsa contenitore.

L'interfaccia della riga di comando può essere usata anche per visualizzare l'identità e i dati dell'ID entità associati all'interno del cluster.

Esempio:

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Output:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/subscriptionID/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Cluster Nexus dell'operatore con un'identità gestita assegnata dal sistema

L'uso di un'identità gestita assegnata dal sistema (SAMI) segue un modello diverso dalle interfacce utente. Anche se le risorse fornite dall'utente (account di archiviazione, LAW e Key Vault) possono essere create prima della creazione del cluster, l'istanza SAMI non esiste finché non viene creato il cluster. Gli utenti devono eseguire query sul cluster per ottenere l'identità SAMI, assegnare i privilegi corretti all'istanza SAMI per ogni risorsa e quindi aggiornare il cluster con le impostazioni delle risorse specificando l'identità assegnata dal sistema.

Per un nuovo cluster, questi passaggi devono essere completati prima della distribuzione del cluster. Gli effetti della mancata configurazione di queste risorse in base al tempo di distribuzione per un nuovo cluster sono i seguenti:

• Account di archiviazione: gli output dei comandi run-* non vengono scritti nell'account di archiviazione.
• LEGGE: la distribuzione del cluster non riesce perché la legge è necessaria per installare le estensioni software durante la distribuzione.
• Key Vault: le rotazioni delle credenziali hanno esito negativo perché è presente un controllo per garantire l'accesso in scrittura all'insieme di credenziali delle chiavi fornito dall'utente prima di eseguire la rotazione delle credenziali.

L'aggiornamento del cluster può essere eseguito in qualsiasi momento. La modifica delle impostazioni LAW potrebbe causare una breve interruzione dell'invio di metriche alla LEGGE perché le estensioni che usano la LEGGE potrebbero dover essere reinstallate.

La procedura seguente deve essere seguita per l'uso di interfacce utente con i cluster Nexus e le risorse associate.

1. Creare o aggiornare il cluster con un SAMI
2. Eseguire una query sul cluster per ottenere l'istanza SAMI
3. Creare le risorse e assegnare sami alle risorse
4. Aggiornare il cluster con le informazioni sulle risorse fornite dall'utente
5. Distribuire il cluster (se nuovo)

Creare o aggiornare il cluster con un SAMI

Quando si crea o si aggiorna un cluster con un'identità gestita assegnata dal sistema, usare il --mi-system-assigned parametro . Il processo di creazione o aggiornamento del cluster genera le informazioni SAMI.

Esempio 1: questo esempio è un comando cluster create abbreviato che specifica un SAMI.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-system-assigned

Esempio 2: questo esempio aggiorna un cluster per aggiungere un SAMI. Tutte le interfacce utente definite nel cluster vengono rimosse.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-system-assigned

Esempio 3: questo esempio aggiorna un cluster per aggiungere un SAMI e mantiene l'interfaccia utente esistente, myUAMI.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --mi-system-assigned

Eseguire una query sul cluster per ottenere l'istanza SAMI

L'ID risorsa di identità è reperibile selezionando "Visualizzazione JSON" nella risorsa di identità nel portale di Azure.

L'interfaccia della riga di comando può essere usata anche per visualizzare l'identità e i dati dell'ID entità associati all'interno del cluster.

principalId Prendere nota dell'identità usata per concedere l'accesso alle risorse.

Esempio:

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Esempio di identità assegnata dal sistema:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Creare le risorse e assegnare sami alle risorse

Configurazione degli account di archiviazione

1. Creare un account di archiviazione o identificare un account di archiviazione esistente che si vuole usare. Vedere Creare un account di archiviazione di Azure.
2. Creare un contenitore di archiviazione BLOB nell'account di archiviazione. Vedere Creare un contenitore.
3. Assegnare il Storage Blob Data Contributor ruolo agli utenti e all'istanza SAMI che devono accedere all'output del comando run-*. Vedere Assegnare un ruolo di Azure per l'accesso ai dati BLOB.
4. 1. Per limitare l'accesso all'account di archiviazione a un set selezionato di reti IP o virtuali, vedere Configurare firewall e reti virtuali Archiviazione di Azure.
   2. Gli indirizzi IP per tutti gli utenti che eseguono comandi run-* devono essere aggiunti agli elenchi e/o Firewall dell'account di Virtual Networks archiviazione.
   3. Assicurarsi che Allow Azure services on the trusted services list to access this storage account. in Exceptions sia selezionato.

Configurazione delle aree di lavoro Log Analytics

1. Creare un'area di lavoro Log Analytics (LAW) o identificare una LEGGE esistente da usare. Vedere Creare un'area di lavoro Log Analytics.
2. Assegnare il Log Analytics Contributor ruolo all'istanza SAMI per l'area di lavoro Log Analytics. Vedere Gestire l'accesso alle aree di lavoro Log Analytics.

Configurazione di Key Vault

1. Creare un insieme di credenziali delle chiavi o identificare un insieme di credenziali delle chiavi esistente che si vuole usare. Vedere Creare un insieme di credenziali delle chiavi.
2. Abilitare l'insieme di credenziali delle chiavi per il controllo degli accessi in base al ruolo .Enable the Key Vault for Role Based Controllo di accesso (RBAC). Vedere Abilitare le autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Key Vault.
3. Assegnare il Operator Nexus Key Vault Writer Service Role (Preview) ruolo a SAMI per l'insieme di credenziali delle chiavi. Vedere Assegnare un ruolo.
   1. L'ID definizione del ruolo per il ruolo 44f0a1a8-6fea-4b35-980a-8ff50c487c97del servizio Writer Di Nexus Key Vault è . Questo formato è obbligatorio se si usa la riga di comando di Azure per eseguire l'assegnazione di ruolo.
4. Per limitare l'accesso all'insieme di credenziali delle chiavi a un set selezionato di reti IP o virtuali, vedere Configurare firewall e reti virtuali di Azure Key Vault.
   1. Gli indirizzi IP per tutti gli utenti che richiedono l'accesso all'insieme di credenziali delle chiavi devono essere aggiunti agli elenchi e/o Firewall dell'insieme di Virtual Networks credenziali delle chiavi.
   2. Verificare che l'opzione Allow trusted Microsoft services to bypass this firewall. under Exceptions sia selezionata.

Aggiornare il cluster con le informazioni sulle risorse fornite dall'utente

Impostazioni dell'account di archiviazione

Il --command-output-settings costrutto di dati viene usato per definire l'account di archiviazione in cui viene scritto l'output del comando di esecuzione. È costituito dagli elementi seguenti:

• container-url: URL del contenitore dell'account di archiviazione che deve essere usato dalle identità specificate.
• identity-resource-id: non obbligatorio quando si usa un SAMI
• identity-type: tipo di identità gestita selezionata. Usare SystemAssignedIdentity.

Impostazioni dell'area di lavoro Log Analytics

Il --analytics-output-settings costrutto di dati viene usato per definire la legge in cui vengono inviate le metriche. È costituito dagli elementi seguenti:

• analytics-workspace-id: ID risorsa dell'area di lavoro di analisi che deve essere usata dall'identità specificata.
• identity-resource-id: non obbligatorio quando si usa un SAMI
• identity-type: tipo di identità gestita selezionata. Usare SystemAssignedIdentity.

Impostazioni di Key Vault

Il --secret-archive-settings costrutto di dati viene usato per definire l'insieme di credenziali delle chiavi in cui vengono scritte le credenziali ruotate. È costituito dagli elementi seguenti:

• identity-resource-id: non obbligatorio quando si usa un SAMI
• identity-type: tipo di identità gestita selezionata. Usare SystemAssignedIdentity.
• vault-uri: URI per l'insieme di credenziali delle chiavi usato come archivio segreto.

Esempi di aggiornamento del cluster

L'aggiornamento di un cluster segue lo stesso modello di creazione. Se è necessario modificare l'UAMI per una risorsa, è necessario includerlo sia --mi-user-assigned nel campo che nel corrispondente --identity-resource-id per account di archiviazione, LAW o Key Vault. Se sono in uso più interfacce utente, è necessario specificare l'elenco completo delle interfacce utente nel campo durante l'aggiornamento --mi-user-assigned .

Per LAW e Key Vault, è possibile eseguire la transizione dai costrutti di dati esistenti ai nuovi costrutti che usano UAMI tramite un aggiornamento del cluster.

Importante

Quando si aggiorna un cluster con UAMI o UAMI in uso, è necessario includere le interfacce utente esistenti nell'elenco --mi-user-assigned delle identità quando si aggiunge un SAMI o si aggiorna. Se un SAMI è in uso nel cluster e si aggiunge un UAMI, è necessario includere --mi-system-assigned nel comando di aggiornamento. In caso contrario, le rispettive identità gestite verranno rimosse.

Esempio 1: aggiungere o aggiornare le impostazioni di output del comando (account di archiviazione) per un cluster.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container"

Esempio 2: aggiungere o aggiornare le impostazioni di output di Log Analytics (LAW) per un cluster.

Attenzione

La modifica delle impostazioni LAW potrebbe causare una breve interruzione dell'invio di metriche alla LEGGE perché le estensioni che usano la LEGGE potrebbero dover essere reinstallate.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \

Esempio 3: aggiungere o aggiornare le impostazioni dell'archivio segreto (Key Vault) per un cluster.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --secret-archive-settings identity-type="SystemAssignedIdentity" \
    vault-uri="https://keyvaultname.vault.azure.net/"

Esempio 4: questo esempio combina tutte e tre le risorse usando un SAMI in un unico aggiornamento.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container"
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \
    --secret-archive-settings identity-type="SystemAssignedIdentity" \
    vault-uri="https://keyvaultname.vault.azure.net/"

Aggiornare le identità del cluster tramite le API

Le identità gestite del cluster possono essere assegnate tramite l'interfaccia della riga di comando. È possibile annullare l'assegnazione delle identità tramite chiamate API. Si noti che <APIVersion> l'API è la versione 2024-07-01 o successiva.

• Per rimuovere tutte le identità gestite, eseguire:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body "{\"identity\":{\"type\":\"None\"}}"
  

• Se sono state aggiunte identità gestite assegnate dall'utente e assegnate dal sistema, è possibile rimuovere l'attributo Assegnato dall'utente aggiornando in typeSystemAssigned:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Esempio del corpo della richiesta (uai-body.json):

  {
  "identity": {
        "type": "SystemAssigned"
  }
  }
  

• Se sono state aggiunte identità gestite assegnate dall'utente e assegnate dal sistema, l'assegnazione del sistema può essere rimossa aggiornando in typeUserAssigned:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Esempio del corpo della richiesta (uai-body.json):

  {
  "identity": {
        "type": "UserAssigned",
    "userAssignedIdentities": {
    	"/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": {}
    }
  }
  }
  

• Se sono state aggiunte più identità gestite assegnate dall'utente, è possibile rimuoverle eseguendo:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Esempio del corpo della richiesta (uai-body.json):

  {
  "identity": {
        "type": "UserAssigned",
    "userAssignedIdentities": {
    	"/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": null
    }
  }
  }